4月10日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品
■Adobe Flash Player 21.0.0.213リリース:APSB16-10(2016/04/07)Adobe Flash Player 21.0.0.213では、計24件の脆弱性を解決しています(図1)。脆弱性は、型の取り違え(type confusion:CWE-843)、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損(memory corruption:CWE-119)、スタックオーバーフローに起因して任意のコード実行を許してしまう問題、セキュリティ機能の迂回を許してしまう問題です。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。
図1●Adobe Flash Playerの年別脆弱性対策件数の推移
米シスコ製品
■UCS Invicta(2016/04/06)フラッシュメモリー技術を組み込んだCisco UCS(Unified Computing System)Invictaには、アクセス権限の昇格を許してしまう脆弱性(CVE-2016-1313)が存在します。この問題は、デフォルトのSSH秘密鍵が存在すること、このSSH秘密鍵を入手することで、パスワードなしに管理者権限でのアクセスを許してしまうことに起因しています。
