1月25日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズAdobe Flash Player 16.0.0.296リリース:APSB15-03(2015/01/27)
1月22日、攻撃ツール「Angler Exploit Kit」を用いたAdobe Flash Playerの脆弱性(CVE-2014-8440、CVE-2015-0310、CVE-2015-0311)を悪用した侵害活動が報告されました(図1)。
脆弱性(CVE-2014-8440)は、2014年11月11日にリリースされたAdobe Flash Player 15.0.0.223(APSB14-24)で解決された問題です。1月22日にリリースされたAdobe Flash Player 16.0.0.287では、メモリーリークに起因する任意のコード実行を許してしまう脆弱性(CVE-2015-0310)を解決しています。また、1月27日にリリースされたAdobe Flash Player 16.0.0.296では、任意のコード実行を許してしまう脆弱性(CVE-2015-0311、CVE-2015-0312)を解決しています。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください。
- 米アドビ システムズ:APSB15-03: Adobe Flash Playerに関するセキュリティアップデート公開
- 米アドビ システムズ:APSB15-02: Adobe Flash Playerに関するセキュリティアップデート公開
Java SE 7 Update 75、Java SE 8 Update 31リリース(2015/01/20)
Java SE 7 Update 75には、Java SE、Java SE Embedded、JRockitコンポーネントに関する計16件のセキュリティアップデート、Java SE 8 Update 31には計19件のセキュリティアップデートが含まれています(図2)。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性は、それぞれ12件、14件です。Java SE 7 Update 76は、計16件のセキュリティアップデートに加えて複数のバグ修正を含むリリースです。
また、Java SE 7 Update 75、Java SE 8 Update 31以降、SSLv3プロトコルがデフォルトで無効になっています。アプリケーションでSSLv3を使用する必要がある場合は、リリースノートに沿った対処が必要となります。なお、Java SE 7に関しては、2015年4月に公式アップデート終了が予定されています。
- オラクル:Oracle Critical Patch Update Advisory - January 2015
- オラクル:Java 7 Update 75(7u75)リリースノート
- オラクル:Java 7 Update 76(7u76)リリースノート
- オラクル: Java 8リリースのハイライト: Java 8 Update 31(8u31)
- オラクル:Java 8 Update 31(8u31)リリースノート
オラクル2015年1月の四半期セキュリティアップデート(2015/01/20)
Oracle Critical Patch Update Advisory - January 2015には、Database Server系8件、Fusion Middleware系36件、Applications系43件、Visualization系11件、MySQL系9件、Java SE系19件など、計169件のセキュリティアップデートが含まれています(図3)。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は、計103件となっています。
