Hitach Incident Response Team

 2月19日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品に複数の脆弱性

■Flash Player 11.1.102.62リリース:APSB12-03(2012/02/15)

 メモリー破損に起因する任意のコード実行を許してしまう脆弱性、セキュリティ機構の迂回を許してしまう脆弱性、クロスサイトスクリプティングの脆弱性(CVE-2012-0767)など、計7件を解決したAdobe Flash Player 11.1.102.62/10.3.183.15、Android 4.x版Adobe Flash Player 11.1.115.6、Android 3.xおよび2.x版Adobe Flash Player 11.1.111.6がリリースされました(図1)。クロスサイトスクリプティングの脆弱性(CVE-2012-0767)は既に侵害活動に利用されています。速やかにアップデートを実施してください。

図1●Adobe Flash Playerのリリース回数
図1●Adobe Flash Playerのリリース回数

■Shockwave Player 11.6.4.634リリース:APSB12-02(2012/02/15)

 Shockwave Player 11.6.4.634では、メモリー破損やヒープオーバーフローに起因する任意のコード実行を許してしまう脆弱性9件を解決しています。前回のアップデートは2011年11月上旬で、2011年のアップデート回数は4回です(図2)。

図2●Adobe Shockwave Playerのリリース回数
図2●Adobe Shockwave Playerのリリース回数

■RoboHelp for Word:APSB12-04(2012/02/15)

 Windows版RoboHelp 9(またはRoboHelp 8)for WordのWebページ発行機能に脆弱性(CVE-2012-0765)が存在します。この問題は、出力するWebページに、クロスサイトスクリプティングの脆弱性が作り込まれる可能性があるというものです。RoboHelpは、マルチチャネルおよびマルチデバイスパブリッシングを実現する文書作成支援ツールです。

マイクロソフト2012年2月の月例セキュリティアップデート(2012/02/15)

 2月の月例セキュリティアップデートでは、9件のセキュリティ更新プログラムを公開し、21件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行7件、アクセス権限の昇格3件、情報漏洩1件です。このうち、セキュリティ更新プログラム(MS12-012、MS12-014)では、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者が細工した外部DLLの読み込みを許してしまう問題(DLLプリロード攻撃)が発生し得る脆弱性(CVE-2010-5082、CVE-2010-3138)に対処しました。

米シスコ NX-OSにサービス不能の脆弱性(2012/02/17)

 Cisco NX-OSソフトウエアが稼働しているCisco Nexus 1000V、5000、7000シリーズのスイッチには、不正なIPパケットを受信した場合、装置が再起動してしまうなど、サービス不能攻撃を許してしまう脆弱性(CVE-2012-0352)が存在します。

Firefox 10.0.2、Firefox 3.6.27リリース(2012/02/16)

 Firefox 10.0.2、Firefox ESR 10.0.2、Firefox 3.6.27では、libpngにおける整数オーバーフローに起因し、サービス不能攻撃や任意のコード実行を許してしまう脆弱性(CVE-2011-3026)を解決しています。

Thunderbird 10.0.2、Thunderbird 3.1.19リリース(2012/02/16)

 Thunderbird 10.0.2、Thunderbird ESR 10.0.2、Thunerbird 3.1.19では、libpngにおける整数オーバーフローに起因し、サービス不能攻撃や任意のコード実行を許してしまう脆弱性(CVE-2011-3026)を解決しています。

Java SE 7 Update 3、Java SE 6 Update 31リリース(2012/02/14)

 Java SE 7 Update 3、Java SE 6 Update 31には、14件のセキュリティアップデートが含まれています。このうち、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で14件となっています。またjava_pluginに関するバグ修正として、Firefoxの自動検出に引っかからないよう、npjp2.dllの格納ディレクトリーを移動しています。

日立製品に複数の脆弱性(2012/02/17)

 Cosminexus Developer's Kit for Javaを構成部品として使用しているCosminexus製品には、複数の脆弱性が存在します。脆弱性は、Java SE 7 Update 3、Java SE 6 Update 31のリリースで解決されたセキュリティ問題です。