11月17日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アップルiOS 7.0.4リリース(2013/11/14)
iOS 7.0.4では、ログインしたユーザーに対し、追加のパスワードを入力しなくてもApple Storeのアプリ購入などを許してしまう脆弱性(CVE-2013-5193)を解決してします。
米アドビ システムズ製品に複数の脆弱性
■Adobe Flash Player 11.9.900.152リリース:APSB13-26(2013/11/12)
メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2013-5329、CVE-2013-5330)を解決したAdobe Flash Player 11.9.900.152、Adobe AIR 3.9.0.1210がリリースされました。
■ColdFusionに脆弱性:APSB13-27(2013/11/12)
Windows、Mac、UNIX版ColdFusion 10、9.0.2、9.0.1および9.0以前のバージョンには、クロスサイトスクリプティングの脆弱性(CVE-2013-5326)が存在します。また、ColdFusion 10には、情報漏洩を許してしまう脆弱性(CVE-2013-5328)が存在します。
マイクロソフト2013年11月の月例セキュリティアップデート(2013/11/13)
11月の月例セキュリティアップデートでは、8件のセキュリティ更新プログラムを公開し、19件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です(図1)。このうち、セキュリティ更新プログラム(MS13-090)では、ActiveXコントロールに存在する新たな脆弱性(CVE-2013-3918)に対処しました。この脆弱性は、2013年11月上旬に報告された侵害活動で利用されたもので、Internet Explorer経由で任意のコード実行を許してしまう脆弱性です(図2)。
