Hitach Incident Response Team

 11月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 15.0.0.223リリース:APSB14-24(2014/11/11)

 Adobe Flash Player 15.0.0.223では、メモリー破損(CVE-2014-0576、CVE-2014-0581、CVE-2014-8440、CVE-2014-8441)、メモリーの解放後使用(use-after-free)(CVE-2014-0573、CVE-2014-0588、CVE-2014-8438)、メモリーの2重解放(double free)(CVE-2014-0574)、バッファオーバーフロー(CVE-2014-0582、CVE-2014-0589)などに起因する任意のコード実行を許してしまう計15件の脆弱性を解決しています。また、情報漏洩、アクセス権限の昇格を許してしまう計3件の脆弱性を解決しています(図1)。

図1●Adobe Flash Playerの脆弱性対策件数
図1●Adobe Flash Playerの脆弱性対策件数

マイクロソフト2014年11月の月例セキュリティアップデート(2014/11/12)

 2014年11月の月例セキュリティアップデートでは、14件のセキュリティ更新プログラムが公開されました。これらにより、33件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回です(図2)。

 このうち、セキュリティ更新プログラム(MS14-064)は、Microsoft OLEの脆弱性(CVE-2014-6352)に対処しました。脆弱性を悪用しようとする限定的な攻撃が確認されています。セキュリティ更新プログラム(MS14-066)は、任意のコード実行を許してしまうSchannelの脆弱性(CVE-2014-6321)を解決しています。脆弱性を悪用する攻撃コードの存在は報告されていませんが、能動型攻撃による任意のコード実行が可能性であるため、各所から注意喚起が発行されています。

 また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2およびWindows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB14-24、Adobe Flash Player 15.0.0.223)対応がリリースされました。

図2●脆弱性による影響(11月の月例セキュリティアップデート)
図2●脆弱性による影響(11月の月例セキュリティアップデート)