6月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.10.0-P2リリース(2014/06/11)
BIND 9.10.0-P2では、GCC最適化に関するバグとサービス拒否攻撃を許してしまう脆弱性(CVE-2014-3859)を解決しています。脆弱性は、BIND 9.10.xに実装されているEDNS0のオプション処理の不具合に起因し、不正なDNS要求を受信した場合、namedが異常終了するというものです。BIND 9.10.xが稼働するコンテンツサーバー(権威DNSサーバー)とキャッシュDNSサーバーに影響があります。EDNS0(Extension Mechanisms for DNS)は、RCODEやフラグの拡張、ラベル型の拡張、DNSメッセージサイズの拡張など、RFC2671で規定されているDNSの拡張プロトコルです。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing
- JPRS:(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について
BIND 9.9.5-P1、BIND 9.8.7-P1リリース(2014/06/11)
BIND 9.9.5-P1、BIND 9.8.7-P1では、GCC最適化に関するバグを修正しています。セキュリティアップデートは含まれていません。
マイクロソフト2014年6月の月例セキュリティアップデート(2014/06/11)
2014年6月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムが公開されました。これらにより、67件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、改ざんです(図1)。
このうち、セキュリティ更新プログラム(MS14-035)は、Internet Explorerのセキュリティアップデートで59件のセキュリティ問題を解決しています。リリース時点で、脆弱性を悪用した侵害活動は確認されていません。また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2および Windows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB14-16、Adobe Flash Player 14.0.0.125)対応がリリースされました。
- マイクロソフト:2014年6月のセキュリティ情報
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(2755801): Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
米アドビ システムズ Adobe Flash Player 14.0.0.125リリース:APSB14-16(2014/06/10)
Adobe Flash Player 14.0.0.125では、クロスサイトスクリプティングの脆弱性(CVE-2014-0531、CVE-2014-0532、CVE-2014-0533)、セキュリティ機構の迂回を許してしまう脆弱性(CVE-2014-0534、CVE-2014-0535)、メモリー破損に起因し、任意のコード実行を許してしまう脆弱性(CVE-2014-0536)を解決しています(図2)。
