PR

Hitach Incident Response Team

 1月25日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 16.0.0.296リリース:APSB15-03(2015/01/27)

 1月22日、攻撃ツール「Angler Exploit Kit」を用いたAdobe Flash Playerの脆弱性(CVE-2014-8440、CVE-2015-0310、CVE-2015-0311)を悪用した侵害活動が報告されました(図1)。

 脆弱性(CVE-2014-8440)は、2014年11月11日にリリースされたAdobe Flash Player 15.0.0.223(APSB14-24)で解決された問題です。1月22日にリリースされたAdobe Flash Player 16.0.0.287では、メモリーリークに起因する任意のコード実行を許してしまう脆弱性(CVE-2015-0310)を解決しています。また、1月27日にリリースされたAdobe Flash Player 16.0.0.296では、任意のコード実行を許してしまう脆弱性(CVE-2015-0311、CVE-2015-0312)を解決しています。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください。

図1●脆弱性(CVE-2014-8440、CVE-2015-0310、CVE-2015-0311)の対応経緯
図1●脆弱性(CVE-2014-8440、CVE-2015-0310、CVE-2015-0311)の対応経緯

Java SE 7 Update 75、Java SE 8 Update 31リリース(2015/01/20)

 Java SE 7 Update 75には、Java SE、Java SE Embedded、JRockitコンポーネントに関する計16件のセキュリティアップデート、Java SE 8 Update 31には計19件のセキュリティアップデートが含まれています(図2)。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性は、それぞれ12件、14件です。Java SE 7 Update 76は、計16件のセキュリティアップデートに加えて複数のバグ修正を含むリリースです。

 また、Java SE 7 Update 75、Java SE 8 Update 31以降、SSLv3プロトコルがデフォルトで無効になっています。アプリケーションでSSLv3を使用する必要がある場合は、リリースノートに沿った対処が必要となります。なお、Java SE 7に関しては、2015年4月に公式アップデート終了が予定されています。

図2●オラクルから報告されているJavaの脆弱性の件数
図2●オラクルから報告されているJavaの脆弱性の件数

オラクル2015年1月の四半期セキュリティアップデート(2015/01/20)

 Oracle Critical Patch Update Advisory - January 2015には、Database Server系8件、Fusion Middleware系36件、Applications系43件、Visualization系11件、MySQL系9件、Java SE系19件など、計169件のセキュリティアップデートが含まれています(図3)。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は、計103件となっています。

図3●製品系列別の四半期セキュリティアップデート件数の推移
[画像のクリックで拡大表示]
図3●製品系列別の四半期セキュリティアップデート件数の推移