Hitach Incident Response Team

 7月19日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品の脆弱性

■Adobe Flash Player 18.0.0.209リリース:APSB15-18(2015/07/14)

 Adobe Flash Player 18.0.0.209では、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損に起因して任意のコード実行を許してしまう問題2件(CVE-2015-5122、CVE-2015-5123)を解決しています。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。報告された脆弱性は、既に標的型攻撃などの侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください。

■Shockwave Player 12.1.9.159リリース:APSB14-10(2015/07/14)

 Adobe Shockwave Player 12.1.9.159では、メモリー破損に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-5120、CVE-2015-5121)を解決しています(図1)。

図1●Adobe Shockwave Playerの脆弱性対策件数
図1●Adobe Shockwave Playerの脆弱性対策件数

■Adobe Reader XI(11.0.12)リリース:APSB15-15(2015/07/14)

 Adobe ReaderならびにAcrobatのバージョンXI(11.0.12)、Acrobat Reader DCならびに Acrobat DC(2015.008.20082 / 2015.006.30060)では、計47件の脆弱性を解決しています(図2)。脆弱性は、バッファーオーバーフロー、整数オーバーフロー、メモリー破損(memory corruption:CWE-119)、メモリーの解放後使用(use-after-free:CWE-416)に起因して任意のコード実行を許してしまう問題24件、サービス拒否攻撃を許してしまう問題3件、セキュリティ機能の迂回を許してしまう問題15件、情報漏洩、アクセス権限の昇格を許してしまう問題です。

図2●Adobe Readerの脆弱性対策件数
図2●Adobe Readerの脆弱性対策件数