Hitach Incident Response Team

 12月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコCisco Prime Collaboration Assurance(2015/12/09)

 ビデオおよび音声サービスの保証ならびに管理システム製品であるCisco Prime Collaboration Assuranceには、デフォルトパスワードが設定された、マニュアルに記載されていないデフォルトアカウント(CVE-2015-6389)が存在します。

米アドビ システムズAdobe Flash Player 20.0.0.228リリース:APSB15-32(2015/12/08)

 Adobe Flash Player 20.0.0.228では、計77件の脆弱性を解決しています(図1)。脆弱性は、バッファオーバーフロー、整数オーバーフロー、型の取り違え(type confusion:CWE-843)、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう問題74件、セキュリティ機構の迂回を許してしまう問題3件です。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。

 また、これらの問題を解決したデスクトップランタイムWindows/Mac版Adobe AIR 20.0.0.204がリリースされました。

図1●Adobe Flash Playerの年別脆弱性対策件数の推移
図1●Adobe Flash Playerの年別脆弱性対策件数の推移