2011年5月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
Flash Player 10.3.181.14リリース:APSB11-12(2011/05/12)
Mozilla Firefox 4、Microsoft Internet Explorer 8以降、Google Chrome 11のプライバシー設定と統合されるなどの新機能が追加されたAdobe Flash Player 10.3.181.14、Android版Flash Player 10.3.185.21がリリースされました。これらのリリースでは、異常終了やシステム侵害を許してしまう脆弱性11件を解決しています。報告された脆弱性の一つ(CVE-2011-0627)については、電子メールに添付のMicrosoft Wordファイル(.doc)またはMicrosoft Excel(.xls)に埋め込まれているFlashファイル(.swf)を経由した侵害活動が報告されています。
Adobe Flash Player 10以降の脆弱性対策件数は115件で、平均すると8日に1件の割合です(図1)。特に、2011年に入ってから、脆弱性対策のためのリリース回数は既に4回(2010年は5回)となっています。MyJVN バージョンチェッカなどでの定期的な対策確認をお勧めします。
[参考情報]
米アドビ システムズ製品に複数の脆弱性
■Adobe RoboHelp(2011/05/12)
ヘルプシステム、手順書などのオーサリングツールである、Windows版RoboHelp 7、RoboHelp 8、RoboHelp Server 7、RoboHelp Server 8には、クロスサイトスクリプティングの脆弱性(CVE-2011-0613)が存在します。
■Adobe Audition(2011/05/12)
オーディオ制作に必要な機能が統合されたWindows版Adobe Audition 3.0.1以前に、任意のコード実行を許してしまう脆弱性(CVE-2011-0614、CVE-2011-0615)が存在します。この問題は、オーディオファイルの関連情報を格納するバイナリー形式のセッションファイル(.ses)の処理に起因するものです。対策として、XML形式のセッションファイルへの移行を推奨しています。
■Adobe Flash Media Server(2011/05/12)
Flash Media Server 4.0.2ならびに3.5.6がリリースされました。これらのリリースでは、異常終了や任意のコード実行を許してしまう脆弱性2件(CVE-2010-3864, CVE-2011-0612)を解決しています。
[参考情報]
- 米アドビ システムズ:APSB11-09: Adobe RoboHelp に関するセキュリティアップデート公開
- 米アドビ システムズ:APSB11-10: Adobe Audition の潜在的な脆弱性に関するセキュリティ情報
- 米アドビ システムズ:APSB11-11: Adobe Flash Media Server用セキュリティアップデート公開
Apache HTTPサーバー 2.2.18リリース(2011/05/11)
APR(Apache Portable Runtime)ライブラリーに同梱されているapr_fnmatch関数に存在する脆弱性(CVE-2011-0419)を解決しています。この脆弱性は、ディレクトリー内のファイル/ディレクトリーを一覧表示するmod_autoindexの設定が有効な場合に、サービス不能攻撃に悪用される可能性があります。このほかにも、リクエスト待ち時間内に応答がない場合のステータスコード408ログ出力の抑止など、バグ対策や機能改善が行われています。
[参考情報]
- Apache Software Foundation:Changes with Apache 2.2.18
- Apache Software Foundation:Apache httpd 2.2 vulnerabilities