2014年9月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズAdobe Reader XI(11.0.09)リリース:APSB14-20(2014/09/17)
Adobe Reader並びにAcrobatのバージョンXI(11.0.09)では、計8件の脆弱性を解決しています。脆弱性は、メモリーの解放後使用(use-after-free)(CVE-2014-0560)、ユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性(CVE-2014-0562)、メモリー破損(CVE-2014-0563)によりサービス拒否攻撃を許してしまう脆弱性(CVE-2014-0563)、ヒープバッファオーバーフロー(CVE-2014-0561、CVE-2014-0567)やメモリー破損(CVE-2014-0565、CVE-2014-0566)に起因し、任意のコード実行を許してしまう脆弱性、サンドボックス機構の迂回を許してしまう脆弱性(CVE-2014-0568)です。UXSSは、ブラウザーなどのクライアント側に内在する問題によって発生するXSSのことです。
米アップル製品
■iOS 8リリース(2014/09/17)
iOS 8では、802.1X、アクセシビリティー、アカウントフレームワーク、アカウント、アドレス帳、アプリケーションインストール、アセット、Bluetooth、証明書信頼ポリシー、CoreGraphics、Data Detectors、Foundation、Home & Lock Screen、IOAcceleratorFamily、IOHIDFamily、IOKit、カーネル、Libnotify、ロックダウン、メール、プロファイル、Safari、サンドボックスプロファイル、設定、Weather、WebKit、WiFi、iMessage、シスログに存在する計56件の脆弱性を解決しています。
■Apple TV 7リリース(2014/09/17)
Apple TV 7では、任意のコード実行、サービス拒否攻撃、情報漏洩を許してしまう脆弱性37件を解決しています。任意のコード実行を許してしまう脆弱性7件は、領域外メモリーへの書き出し(out-of-bounds write)、NULLポインター参照(NULL pointer dereference)、整数オーバーフロー、ヒープオーバーフローに起因しています。サービス拒否攻撃を許してしまう脆弱性(CVE-2011-2391)は、IPv6パケット処理において発生する競合によるものです。
