2013年12月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品に複数の脆弱性
■Adobe Flash Player 11.9.900.170リリース:APSB13-28(2013/12/10)
データ型の取り扱い不備、メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2013-5331、CVE-2013-5332)を解決したAdobe Flash Player 11.9.900.170、Linux版Adobe Flash Player 11.2.202.332、Adobe AIR 3.9.0.1380がリリースされました。脆弱性CVE-2013-5331については、侵害活動として、不正なFlashファイル(.swf)が埋め込まれたMicrosoft Word(.doc)ファイルの流布が報告されています。
■Adobe Shockwave Player 12.0.7.148リリース:APSB13-29(2013/12/10)
Adobe Shockwave Player 12.0.7.148では、メモリー破損に起因する任意のコード実行を許してしまう2件の脆弱性(CVE-2013-5333、CVE-2013-5334)を解決しています。
フランス政府系認証局から発行された不正な電子証明書問題(2013/12/07)
フランス政府系認証局(ANSSI)の国庫・経済政策総局(DG Tresor)から不正な電子証明書(*.google.comなど)が発行された問題です。2013年12月3日、グーグルが、不正な電子証明書の流通を検知したことから、この問題の存在が明らかとなりました(図1)。電子証明書の悪用による被害を防ぐために、ブラウザー側で、不正な電子証明書を受け入れないよう対策が施されました。マイクロソフトInternet Explorerでは、「信頼されない発行元」に該当する証明書を登録しました(写真1)。
