2月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズAdobe Flash Player 20.0.0.306リリース:APSB16-04(2016/02/09)
Adobe Flash Player 20.0.0.306では、計22件の脆弱性を解決しています。脆弱性は、型の取り違え(type confusion:CWE-843)、メモリーの解放後使用(use-after-free:CWE-416)、ヒープバッファオーバーフロー、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう問題です。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。
また、これらの問題を解決したデスクトップランタイム Windows/Mac版Adobe AIR 20.0.0.260がリリースされました。
マイクロソフト2016年2月の月例セキュリティアップデート(2016/02/10)
2016年2月の月例セキュリティアップデートでは、13件のセキュリティ更新プログラムが公開されました。これらにより、40件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、アクセス権限の昇格、情報漏洩、なりすまし、セキュリティ機能の迂回です(図2)。
また、月例セキュリティアップデートに合わせ、Internet Explorer 10/11およびMicrosoft Edge用のAdobe Flash Playerの更新プログラム(APSB16-04、Adobe Flash Player 20.0.0.306)対応として、MS16-022が発行されました。
Firefox 44.0.2、ESR 38.6.1リリース(2016/02/11)
2月8日にリリースされたFirefox 44.0.1では、特定の状況下で保存されているパスワードが削除されてしまう不具合やネットワークキャッシュに起因するクラッシュなどの不具合を修正しています。セキュリティアップデートは含まれていません。その後、2月11日にリリースされたFirefox 44.0.2では、情報漏洩につながるセキュリティ機構の迂回を許してしまう脆弱性(CVE-2016-1949)を解決しています。同日リリースされたESR 38.6.1では、任意のコード実行を許してしまう脆弱性(CVE-2016-1523)を解決しています。
- Mozilla:Firefoxセキュリティアドバイザリー
- Mozilla:Firefox ESRセキュリティアドバイザリー
- Mozilla:バージョン 44.0.2 - 2016/02/11リリース
- Mozilla:バージョン 44.0.1 - 2016/02/08リリース
