PR

Hitach Incident Response Team

 10月18日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品

■Adobe Reader XI(11.0.13)リリース:APSB15-24(2015/10/14)

 Adobe ReaderならびにAcrobatのバージョンXI(11.0.13)、Acrobat Reader DCならびにAcrobat DC(2015.009.20069/2015.006.30094)では、計56件の脆弱性を解決しています(図1)。脆弱性は、バッファオーバーフロー、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう問題19件、情報漏洩を許してしまう問題5件、セキュリティ機能の迂回を許してしまう問題25件です。

図1●Adobe Readerの年別脆弱性対策件数の推移
図1●Adobe Readerの年別脆弱性対策件数の推移

■Adobe Flash Player 19.0.0.226リリース:APSB15-27(2015/10/16)

 10月14日にリリースされたAdobe Flash Player 19.0.0.207では、計21件の脆弱性を解決しています。脆弱性は、バッファオーバーフロー、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう問題19件、情報漏洩を許してしまう問題などです。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。また、これらの問題を解決したデスクトップランタイムWindows/Mac版Adobe AIR 19.0.0.213がリリースされました。

 また、同日、トレンドマイクロから、Adobe Flash Playerのゼロディ脆弱性(CVE-2015-7645)を対象とする攻撃活動が報告されました(図2)。

図2●脆弱性(CVE-2015-7645)の対応経緯
図2●脆弱性(CVE-2015-7645)の対応経緯

 10月16日、ゼロディ脆弱性(CVE-2015-7645)を解決したAdobe Flash Player 19.0.0.226がリリースされました。このバージョンでは、型の取り違え(type confusion:CWE-843)に起因して任意のコード実行を許してしまう3件の脆弱性(CVE-2015-7645、CVE-2015-7647、CVE-2015-7648)を解決しています(図3)。

図3●Adobe Flash Playerの年別脆弱性対策件数の推移
図3●Adobe Flash Playerの年別脆弱性対策件数の推移

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料