Hitach Incident Response Team

 1月18日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 16.0.0.257リリース:APSB15-01(2015/01/13)

 Adobe Flash Player 16.0.0.257では、メモリー破損(memory corruption)、ヒープ型のバッファオーバーフロー、メモリーの解放後使用(use-after-free)などに起因する任意のコード実行を許してしまう脆弱性(CVE-2015-0303~CVE-2015-0306、CVE-2015-0308、CVE-2015-0309)、キーストロークのキャプチャーに悪用される可能性がある情報漏洩を許してしまう脆弱性(CVE-2015-0302)など計9件の脆弱性を解決しています(図1)。また、これらの問題を解決したデスクトップランタイム版Adobe AIR 16.0.0.245、Android版Adobe AIR 16.0.0.272がリリースされています。

図1●Adobe Flash Playerの脆弱性対策件数
図1●Adobe Flash Playerの脆弱性対策件数

マイクロソフト2015年1月の月例セキュリティアップデート(2015/01/14)

 2015年1月の月例セキュリティアップデートでは、8件のセキュリティ更新プログラムが公開されました。これらにより、8件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機能の迂回です(図2)。また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2およびWindows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB15-01、Adobe Flash Player 16.0.0.257)対応がリリースされました。

図2●脆弱性による影響(1月の月例セキュリティアップデート)
[画像のクリックで拡大表示]
図2●脆弱性による影響(1月の月例セキュリティアップデート)