Hitach Incident Response Team

 4月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品

■Adobe Analytics AppMeasurementに脆弱性:APSB16-13(2016/04/21)

 Flashの利用状況を分析するツールであるAdobe Analytics AppMeasurement for Flash Libraryには、debugTrackingが有効な場合に、DOMベースのクロスサイトスクリプティング問題(CVE-2016-1036)が存在します。

米シスコ製品

■Wireless LAN Controller(2016/04/20)

 セキュリティ強化やサービス品質制御などの機能を提供するWireless LAN Controller(WLC)製品群には、サービス拒否攻撃を許してしまう脆弱性が存在します。報告されている脆弱性は、Web管理インタフェースでの未サポートURLへのアクセス問題(CVE-2016-1362)、HTTP要求処理に存在するバッファオーバーフロー問題(CVE-2016-1363)、ゼロコンフィギュレーション技術Bonjourでのトラフィック処理の問題(CVE-2016-1364)です。

■libSRTPライブラリー1.5.3リリース(2016/04/20)

 Secure Real-Time Transport Protocol(SRTP)のライブラリーであるlibSRTP 1.5.3では、暗号化処理サブシステムに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2015-6360)を解決しています。米シスコのソーシャルメディア系、エンドポイントクライアント系、コンテンツセキュリティ系、ルーター/スイッチ系、音声系の製品で使用されており、脆弱性を悪用する不正なSRTPパケットを処理した場合に影響を受ける可能性があります。