Hitach Incident Response Team

 5月19日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品の脆弱性

■Adobe Reader XI(11.0.03)、X(10.1.7)、9.5.5リリース:APSB13-15(2013/05/14)

 Windows、Mac版Adobe Reader並びにAcrobatのバージョンXI(11.0.03)、X(10.1.7)、9.5.5がリリースされました。これらのリリースでは、計27件の脆弱性を解決しています。具体的には、メモリー破損、整数アンダーフロー、スタックオーバーフローに起因する任意のコード実行を許してしまう脆弱性が24件、サンドボックス機構の迂回、情報漏洩などを許してしまう脆弱性が3件です。

■Adobe Flash Player 11.7.700.202リリース:APSB13-14(2013/05/14)

 メモリー破損に起因する任意のコード実行を許してしまう13件の脆弱性(CVE-2013-2728、CVE-2013-3324~CVE-2013-3335)を解決したAdobe Flash Player 11.7.700.202、Linux版11.2.202.285、Adobe AIR 3.7.0.1860がリリースされました。

■米アドビ システムズColdFusion:APSB13-13(2013/05/14)

 Windows、MacおよびUNIX版ColdFusion 10、9.0.2、9.0.1、9.0以前には、任意のコード実行を許してしまう脆弱性(CVE-2013-1389)と、CFIDE/administrator、CFIDE/adminapi、CFIDE/gettingstartedに格納されているファイルの参照を許してしまう脆弱性(CVE- 2013-3336)が存在します。CFIDE/administratorは管理インタフェース用のファイルが格納されています。また、CFIDE/adminapiには、Administratorタスクを実行するためのColdFusionコンポーネントが格納されています。

Firefox 21.0、ESR 17.0.6リリース(2013/05/14)

 Firefox 21.0では、メモリーの解放後使用(use-after-free)、メモリー破損、領域外のメモリー参照(out-of-bounds read)などに起因し、任意のコード実行を許してしまう脆弱性など、8件のセキュリティアドバイザリーに含まれる計15件の脆弱性を解決しています(図1)。

図1●Firefox 21.0、Thunderbird 17.0.6での対応
図1●Firefox 21.0、Thunderbird 17.0.6での対応

Thunderbird 17.0.6、ESR 17.0.6リリース(2013/05/14)

 Thunderbird 17.0.6では、メモリーの解放後使用、メモリー破損、領域外のメモリー参照などに起因し、任意のコード実行を許してしまう脆弱性など、6件のセキュリティアドバイザリーに含まれる計12件の脆弱性を解決しています(図2)。

マイクロソフト2013年5月の月例セキュリティアップデート(2013/05/15)

 5月の月例セキュリティアップデートでは、10件のセキュリティ更新プログラムを公開し、33件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回です。このうち、セキュリティ更新プログラム(MS13-038)は、Internet Explorer 8に存在する新たな脆弱性(CVE-2013-1347)に対処しました。この脆弱性は、2013年4月末に発生した侵害活動で利用された脆弱性です。

 また、月例セキュリティアップデートと合わせて、Malware Protection Engineの更新プログラム、ActiveXのKill Bit更新プログラム、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB13-14)対応がリリースされました。