PR

Hitach Incident Response Team

 1月17日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

DNSサーバーのゾーン転送許可に関する注意喚起(2016/01/12)

 脆弱性CVE-1999-0532は、コンテンツサーバー(権威DNSサーバー)の設定において、ゾーン転送要求に対するアクセス制御設定が適切でないという問題です。悪用された場合、DNSサーバーに格納されているゾーン情報の漏洩を許してしまう可能性があります。日本国内に、この問題を抱えたDNSサーバーが存在することから、1月12日、設定の再確認を意図する注意喚起が発行されました。BINDの場合には、設定ファイル(named.conf)の中で、ゾーン転送許可オプションであるallow-transferの設定を確認してください。

米アドビ システムズ Adobe Reader XI(11.0.14)リリース:APSB16-02(2016/01/12)

 Adobe ReaderならびにAcrobatのバージョンXI(11.0.14)、Acrobat Reader DCならびにAcrobat DC(15.009.20077/15.006.30097)では、計17件の脆弱性を解決しています。脆弱性は、メモリーの解放後使用(use-after-free:CWE-416)、メモリーの2重解放(double free:CWE-415)、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう問題15件、情報漏洩を許してしまう問題1件、セキュリティ機能の迂回を許してしまう問題1件です。

図1●Adobe Readerの年別脆弱性対策件数の推移
図1●Adobe Readerの年別脆弱性対策件数の推移

マイクロソフト2016年1月の月例セキュリティアップデート(2016/01/13)

 2016年1月の月例セキュリティアップデートでは、9件のセキュリティ更新プログラムが公開されました。これらにより、23件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、アクセス権限の昇格、情報漏洩、なりすまし、セキュリティ機能の迂回です(図2)。

 Adobe Flash Player更新プログラム(APSB16-01、Adobe Flash Player 20.0.0.267)の対応については、2015年12月30日に、Windows 8、Windows Server 2012およびWindows RTで動作するInternet Explorer 10用、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1およびWindows 10上で動作するInternet Explorer 11用、Windows 10上で動作するMicrosoft Edge用の更新プログラムがリリースされました。また1月6日には、Adobe Flash Playerが正しく読み込まれていない不具合を修正した更新プログラムがリリースされました。リリースされているバージョンは、Windows 8.x/10上で動作するInternet Explorer/Edge用ActiveXは20.0.0.272、それ以外のActiveXは20.0.0.270です。

図2●脆弱性による影響(1月の月例セキュリティアップデート)
図2●脆弱性による影響(1月の月例セキュリティアップデート)

Google Chrome 47.0.2526.111リリース(2016/01/13)

 Windows/Mac/Linux版47.0.2526.111がリリースされました。リリース時点で、セキュリティアップデートの報告はありません。