Hitach Incident Response Team

 12月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品に複数の脆弱性

■Flash Player 11.5.502.135リリース:APSB12-27(2012/12/11)

 メモリー破損、オーバーフローに起因し、任意のコード実行を許してしまう脆弱性(CVE-2012-5676~CVE-2012-5678)を解決したAdobe Flash Player、Adobe AIRがリリースされました。リリースされたAdobe Flash Playerのバージョンは、11.5.502.135(Windows)、11.5.502.136(Mac)、11.2.202.258(Linux)、11.1.115.34(Android 4.x)、11.1.111.29(Android 3.x/2.x)、11.5.31.5(Chrome)です。Adobe AIRのバージョンは、3.5.0.880(Windows)、3.5.0.890(Mac)です。

■Photoshop Camera Raw 7.3リリース:APSB12-28(2012/12/12)

 各機種固有のRAW画像フォーマットを加工するWindows、Mac版Photoshop Camera Rawのバージョン7.2以前には、バッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性(CVE-2012-5679、CVE-2012-5680)が存在します。

Java SE 7 Update 10、Java SE 6 Update 38リリース(2012/12/12)

 Java SE 7 Update 10、Java SE 6 Update 38は、バグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。Java SE 7 Update 10では、約50件のバグ修正と合わせ、Java認定システムへのMac OS X 10.8ならびにWindows 8の追加、セキュリティ機能の強化が施されています。セキュリティ機能の強化は、Javaアプリケーションの無効化、セキュリティレベルの選択など、Javaアプリケーションの動作制限に関するものです。動作制限の設定は、Javaコントロールパネル(図1)か、コマンドラインから実施します。

図1●Javaコントロールパネルでのセキュリティ設定
図1●Javaコントロールパネルでのセキュリティ設定

RealPlayer 16.0.0.282リリース(2012/12/14)

 Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.5、RealPlayer 14.0.0~15.0.6.14、Mac版RealPlayer 12.0.0.1701には、無効なポインターに関する脆弱性(CVE-2012-5690)、バッファオーバーフローに関する脆弱性(CVE-2012-5691)が存在します。

マイクロソフト2012年12月の月例セキュリティアップデート(2012/12/12)

 12月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、11件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機構の迂回です。

 また、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB12-27)対応がリリースされました。適切なタイムスタンプ属性なしに生成されたディジタル証明書に関連する問題について、影響を受ける製品を対象に、MS12-043(XMLコアサービスの脆弱性)、MS12-057(Microsoft Officeの脆弱性)、MS12-059(Microsoft Visioの脆弱性)、MS12-060(Windowsコモン コントロールの脆弱性)の更新プログラムが再リリースされました。