Hitach Incident Response Team

 8月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSH 7.0、7.0p1リリース(2015/08/11)

 OpenSSH 7.0、7.0p1では、端末デバイスTTY(Tele-Typewriter)をworld-writableの状態(誤った設定)にしてしまう問題、認証処理のモジュール群PAM(Pluggable Authentication Module)に関連する特権分離の問題、keyboard-interactive authenticationを有効にしている場合に、パスワード試行回数の制限が緩和され、ブルートフォース攻撃をしやすくなってしまう問題などを解決しています。また、今後のリリースに向け、1024ビットよりも短いRSA鍵、MD5など、安全性を確保しにくい鍵長や暗号アルゴリズムを廃止するという方向性が示されました。

米アドビ システムズ Adobe Flash Player 18.0.0.232リリース:APSB15-19(2015/08/11)

 Adobe Flash Player 18.0.0.232では、型の取り違え(type confusion:CWE-843)、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損、バッファオーバーフロー、整数オーバーフローに起因して任意のコード実行を許してしまう問題34件(CVE-2015-3107、CVE-2015-5124、CVE-2015-5127、CVE-2015-5129~CVE-2015-5134、CVE-2015-5539~CVE-2015-5541、CVE-2015-5544~CVE-2015-5565)を解決しています(図1)。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。また、これらの問題を解決したデスクトップランタイム Windows/Mac版Adobe AIR 18.0.0.199がリリースされました。

図1●Adobe Flash Playerの脆弱性対策件数
図1●Adobe Flash Playerの脆弱性対策件数

マイクロソフト2015年8月の月例セキュリティアップデート(2015/08/12)

 2015年8月の月例セキュリティアップデートでは、14件のセキュリティ更新プログラムが公開されました。これらにより、46件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回です(図2)。

 月例セキュリティアップデートに合わせて、Windows 8/8.1、Windows Server 2012/2012 R2、Windows RT/RT 8.1、Windows 10上で動作するInternet Explorer 10/11用、Windows 10上で動作するMicrosoft Edge用のAdobe Flash Playerの更新プログラム(APSB15-19、Adobe Flash Player 18.0.0.232)対応がリリースされました。

図2●脆弱性による影響(8月の月例セキュリティアップデート)
図2●脆弱性による影響(8月の月例セキュリティアップデート)