Hitach Incident Response Team

 3月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 17.0.0.134リリース:APSB15-05(2015/03/12)

 Adobe Flash Player 17.0.0.134では、メモリー破損(memory corruption:CWE-119)、型の取り違え(type confusion:CWE-843)、整数オーバーフロー、メモリーの解放後使用(use-after-free:CWE-416)に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-0332~CVE-2015-0336、CVE-2015-0338、CVE-2015-0339、CVE-2015-0341、CVE-2015-0342)9件とセキュリティ機構の迂回を許してしまう脆弱性2件を解決しています(図1)。

図1●Adobe Flash Playerの脆弱性対策件数
図1●Adobe Flash Playerの脆弱性対策件数

マイクロソフト2015年3月の月例セキュリティアップデート(2015/03/11)

 2015年3月の月例セキュリティアップデートでは、14件のセキュリティ更新プログラムが公開されました。これらにより、45件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、なりすまし、セキュリティ機能の迂回です(図2)。また、月例セキュリティアップデートに合わせて、Windows 7、Windows Server 2008 R2で、SHA-2署名および検証機能を追加する更新プログラムが再発行されました。Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2およびWindows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB15-05、Adobe Flash Player 17.0.0.134)対応がリリースされました。

図2●脆弱性による影響(3月の月例セキュリティアップデート)
図2●脆弱性による影響(3月の月例セキュリティアップデート)

Internet Explorer 11のSSL 3.0の無効化(2015/03/11)

 2015年4月14日(米国時間)の更新プログラムで、Internet Explorer 11でのSSL 3.0プロトコルがデフォルトで無効化されます。これで、Internet Explorer 11がサポートするプロトコルは、デフォルトでTLS 1.0/1.1/1.2となります。