11月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズAdobe Flash Player 15.0.0.223リリース:APSB14-24(2014/11/11)
Adobe Flash Player 15.0.0.223では、メモリー破損(CVE-2014-0576、CVE-2014-0581、CVE-2014-8440、CVE-2014-8441)、メモリーの解放後使用(use-after-free)(CVE-2014-0573、CVE-2014-0588、CVE-2014-8438)、メモリーの2重解放(double free)(CVE-2014-0574)、バッファオーバーフロー(CVE-2014-0582、CVE-2014-0589)などに起因する任意のコード実行を許してしまう計15件の脆弱性を解決しています。また、情報漏洩、アクセス権限の昇格を許してしまう計3件の脆弱性を解決しています(図1)。
マイクロソフト2014年11月の月例セキュリティアップデート(2014/11/12)
2014年11月の月例セキュリティアップデートでは、14件のセキュリティ更新プログラムが公開されました。これらにより、33件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回です(図2)。
このうち、セキュリティ更新プログラム(MS14-064)は、Microsoft OLEの脆弱性(CVE-2014-6352)に対処しました。脆弱性を悪用しようとする限定的な攻撃が確認されています。セキュリティ更新プログラム(MS14-066)は、任意のコード実行を許してしまうSchannelの脆弱性(CVE-2014-6321)を解決しています。脆弱性を悪用する攻撃コードの存在は報告されていませんが、能動型攻撃による任意のコード実行が可能性であるため、各所から注意喚起が発行されています。
また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2およびWindows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB14-24、Adobe Flash Player 15.0.0.223)対応がリリースされました。
- マイクロソフト:2014年11月のセキュリティ情報
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(3010060): Microsoft OLE の脆弱性により、リモートでコードが実行される
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(2755801): Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
