Hitach Incident Response Team


 2010年8月15日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Flash Player 10.1.82.76/9.0.280.0リリース:APSB10-16(2010/08/10)

 Adobe Flash PlayerとAdobe AIRに、メモリー破損による任意のコード実行、ユーザーのWebブラウザー上のクリック操作を乗っ取るクリックジャッキング攻撃につながる計6件のぜい弱性が報告されました。影響を受けるバージョンは、Adobe Flash Player 10.1.53.64およびそれ以前のバージョンと、Adobe AIR 2.0.2.12610およびそれ以前のバージョンです。Adobe Flash Playerを利用しているユーザーは10.1.82.76へのアップデートを、Adobe AIRを利用しているユーザーは2.0.3へのアップデートを実施してください。

[参考情報]

米アドビ システムズColdFusionにディレクトリートラバーサルのぜい弱性:APSB10-18(2010/08/10)

 ColdFusion 9.0.1およびそれ以前のバージョンに、ディレクトリートラバーサルのぜい弱性(CVE-2010-2861)が存在します。このぜい弱性を悪用された場合、情報漏えいにつながる可能性があります。

[参考情報]

Flash Media Serverのセキュリティアップデート:APSB10-19(2010/08/10)

 ビデオストリーミング製品であるFlash Media Server 3.0.5およびそれ以前のバージョン、3.5.3およびそれ以前のバージョンに複数のぜい弱性が存在します。JavaScript処理に起因するぜい弱性(CVE-2010-2217、CVE-2010-2218)は悪用された場合、任意のコード実行あるいはサービス不能につながる可能性があります。そのほかに、メモリー消費によってサービス不能につながるぜい弱性(CVE-2010-2219)、入力確認処理が適切ではないためにサービス不能につながるぜい弱性(CVE-2010-2220)が報告されています。

[参考情報]

マイクロソフト2010年8月の月例セキュリティアップデート(2010/08/11)

 8月の月例セキュリティアップデートでは、15件のセキュリティ更新プログラム(含むMS10-046)を公開し、35件のセキュリティ問題を解決しています。このうち、セキュリティ更新プログラム(MS10-049)には、2月にセキュリティアドバイザリーとして公開されたTLS/SSLのぜい弱性(977377)対策が含まれています(図1)。

図1●TLS/SSLのぜい弱性(977377)の対応経緯

[参考情報]