12月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品
■米アドビ システムズAdobe Reader XI(11.0.10)リリース:APSB14-28(2014/12/09)
Adobe Reader並びにAcrobatのバージョンXI(11.0.10)では、計20件の脆弱性を解決しています。脆弱性は、メモリーの解放後使用(use-after-free)、ヒープ型バッファオーバーフロー、整数オーバーフロー、メモリー破損に起因して任意のコード実行を許してしまう問題15件、確認してから実行するまでの時間差の問題(Time of Check to Time of Use)に起因して任意のファイル書き込みを許してしまう問題、JavaScript APIの実装、XML外部エンティティー処理に関連して情報漏洩を許してしまう問題3件、セキュリティ機構の迂回を許してしまう問題です(図1)。
■米アドビ システムズAdobe Flash Player 16.0.0.235リリース:APSB14-27(2014/12/09)
Adobe Flash Player 16.0.0.235では、メモリー破損(CVE-2014-0587、CVE-2014-9164)、メモリーの解放後使用(use-after-free)(CVE-2014-8443)、スタック型バッファオーバーフロー(CVE-2014-9163)に起因して任意のコード実行を許してしまう脆弱性、情報漏洩を許してしまう脆弱性(CVE-2014-0580)、計6件を解決しています(図2)。
■ColdFusion:APSB14-29(2014/12/09)
Windows、Mac、UNIX版ColdFusion 11および10のバージョンには、サービス拒否攻撃を許してしまう脆弱性(CVE-2014-9166)が存在します。
