Hitach Incident Response Team

 2011年5月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Flash Player 10.3.181.14リリース:APSB11-12(2011/05/12)

 Mozilla Firefox 4、Microsoft Internet Explorer 8以降、Google Chrome 11のプライバシー設定と統合されるなどの新機能が追加されたAdobe Flash Player 10.3.181.14、Android版Flash Player 10.3.185.21がリリースされました。これらのリリースでは、異常終了やシステム侵害を許してしまう脆弱性11件を解決しています。報告された脆弱性の一つ(CVE-2011-0627)については、電子メールに添付のMicrosoft Wordファイル(.doc)またはMicrosoft Excel(.xls)に埋め込まれているFlashファイル(.swf)を経由した侵害活動が報告されています。

 Adobe Flash Player 10以降の脆弱性対策件数は115件で、平均すると8日に1件の割合です(図1)。特に、2011年に入ってから、脆弱性対策のためのリリース回数は既に4回(2010年は5回)となっています。MyJVN バージョンチェッカなどでの定期的な対策確認をお勧めします。

図1●Adobe Flash Player 10.xの脆弱性対策件数(累積)
図1●Adobe Flash Player 10.xの脆弱性対策件数(累積)

[参考情報]

米アドビ システムズ製品に複数の脆弱性

■Adobe RoboHelp(2011/05/12)
 ヘルプシステム、手順書などのオーサリングツールである、Windows版RoboHelp 7、RoboHelp 8、RoboHelp Server 7、RoboHelp Server 8には、クロスサイトスクリプティングの脆弱性(CVE-2011-0613)が存在します。

■Adobe Audition(2011/05/12)
 オーディオ制作に必要な機能が統合されたWindows版Adobe Audition 3.0.1以前に、任意のコード実行を許してしまう脆弱性(CVE-2011-0614、CVE-2011-0615)が存在します。この問題は、オーディオファイルの関連情報を格納するバイナリー形式のセッションファイル(.ses)の処理に起因するものです。対策として、XML形式のセッションファイルへの移行を推奨しています。

■Adobe Flash Media Server(2011/05/12)
 Flash Media Server 4.0.2ならびに3.5.6がリリースされました。これらのリリースでは、異常終了や任意のコード実行を許してしまう脆弱性2件(CVE-2010-3864, CVE-2011-0612)を解決しています。

[参考情報]

Apache HTTPサーバー 2.2.18リリース(2011/05/11)

 APR(Apache Portable Runtime)ライブラリーに同梱されているapr_fnmatch関数に存在する脆弱性(CVE-2011-0419)を解決しています。この脆弱性は、ディレクトリー内のファイル/ディレクトリーを一覧表示するmod_autoindexの設定が有効な場合に、サービス不能攻撃に悪用される可能性があります。このほかにも、リクエスト待ち時間内に応答がない場合のステータスコード408ログ出力の抑止など、バグ対策や機能改善が行われています。

[参考情報]