セキュリティホール memo - 2015.02

Last modified: Thu Apr 2 20:35:28 2015 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2015.02.27

追記

lenovo、ノート PC・タブレットにアドウェア Superfish をプリインストール、通信の盗聴・改竄やニセ Web サイトの設置の危険性 (2015.02.23)

NSA、巨大SIM企業をハッキングし全世界のSIMを制御していた (2015.02.22)

JVNDB-2015-001596: Samba の smbd の Netlogon サーバの実装における任意のコードを実行される脆弱性 (2015.02.26)

 QNAP と Synology は案内出ました。更新版ファームウェアはまだ用意されてないみたい。

JVNVU#99205169: Bluetooth Stack for Windows by Toshiba および TOSHIBA Service Station に権限昇格の脆弱性
(JVN, 2015.02.26)

 Bluetoooth Stack for Windows by Toshiba v9.10.27 以前、 TOSHIBA Service Station v2.2.13 以前に欠陥。「引用符で囲まれていない Windows 検索パスに起因する権限昇格の脆弱性が存在します」。 CVE-2015-0884

 Bluetooth Stack for Windows by Toshiba v9.10.32(T)TOSHIBA Service Station v2.2.14 で修正されている。

 関連:

いろいろ (2015.02.27)
(various)

CUPS

MIT Kerberos

 krb5-1.13.1, 1.12.3, 1.11.6 公開。複数の欠陥が修正されている。

SEIL

Zen Cart 日本語版

 日本語版は本家に追従できてないっぽいですね。

 関連

McAfee Agent

GNU C Library

WP-Slimstat

unace

unzip

Xen

メールフォームプロ

KENT-WEB

jBCrypt

Buffalo のブロードバンドルーターに OS コマンドインジェクション脆弱性
(Buffalo, 2015.02.02)

 Buffalo のブロードバンドルーター WHR-1166DHP、WSR-600DHP、WHR-600D、WHR-300HP2、WMR-300、WEX-300、BHR-4GRV2 に OS コマンドインジェクション脆弱性。

管理パスワードを第3者に知られた場合に その第3者により不正にOSコマンドを実行される可能性があります。

 無認証でコマンドを実行できるわけではないみたい。

 Ver.1.70 以降のファームウェア (BHR-4GRV2 は Ver.1.05 以降のファームウェア) で修正されている。


2015.02.26

Firefox 36.0 / ESR 31.5.0、Thunderbird 31.5.0 公開
(Mozilla, 2015.02.24)

 出ました。Firefox 36 は HTTP/2 に対応してます。また RC4 への対応が削除されてます。

 SeaMonkey 2.33 はまだβです。

JVNDB-2015-001596: Samba の smbd の Netlogon サーバの実装における任意のコードを実行される脆弱性
(JVN, 2015.02.25)

 Samba 3.5.0〜4.2.0rc4 に欠陥。smbd の Netlogon サーバ実装に欠陥があり、攻略パケットによって remote から無認証で任意のコードを実行できる。 CVE-2015-0240

 Samba 4.2.0rc5, 4.1.17, 4.0.25, 3.6.25 で修正されている。 また 4.1.6, 4.0.24, 3.6.24, 3.5.22 用の patch が公開されている。

 Samba 4.0.0 以降では、smb.conf の [global] セクションに rpc_server:netlogon=disabled と記述することで回避できる。

 NAS 各社はまだ対応できてないみたい。

 関連:

 黒木さん情報ありがとうございます。

2015.02.27 追記:

 QNAP と Synology は案内出ました。更新版ファームウェアはまだ用意されてないみたい。

2015.03.17 追記:

 QNAP と Synology は修正版ファームウェアが公開されました。

2015.04.02 追記:

 Buffalo 製品セキュリティ情報には記述がないのですが、いくつかの機種で CVE-2015-0240 の修正ファームが出てます。戸井さん情報ありがとうございます。


2015.02.25


2015.02.24

追記

lenovo、ノート PC・タブレットにアドウェア Superfish をプリインストール、通信の盗聴・改竄やニセ Web サイトの設置の危険性 (2015.02.23)

 関連:

  • JVNTA#91476059: Superfish がインストールされた Lenovo 製 PC に HTTPS スプーフィングの脆弱性 (JVN, 2015.02.24)

  • JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題 (JVN, 2015.02.24)

    Komodia Redirector SDK は、プロキシサービスやウェブトラフィック操作の機能を提供します。SSL Digestor モジュールを追加すると、HTTPS トラフィックの操作も可能になります。SSL Digestor モジュールを使用する場合には、ウェブトラフィックの全てがプロキシ経由となりますが、ルート CA 証明書が追加登録されるため、ユーザに警告を出すことなく通信がおこなわれます。

    Komodia の SDK を使用している Superfish VisualDiscovery や KeepMyFamilySecure などのアプリケーションからは、ルート CA 証明書の秘密鍵を容易に取得できます。またルート CA 証明書の秘密鍵はアプリケーションごとに異なるようですが、同一手順で秘密鍵を取り出すことが可能です。

    対応としては、Komodia Redirector SDK を使用しているアプリと、当該アプリがインストールしたルート CA 証明書とをアンインストールする。

  • LenovoのノートPCに潜むアドウェア、Superfish (Kaspersky, 2015.02.24)

NSA、巨大SIM企業をハッキングし全世界のSIMを制御していた (2015.02.22)

 関連:


2015.02.23

ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない
(Dマイナー志向, 2015.02.21)

 なにも考えずに使うと foo.php.html とかにも効いちゃうので、「FilesMatchとSetHandlerを組み合わせて使え」だそうです。

いろいろ (2015.02.23)
(various)

AL-Mail32

unzip

X.Org

横河電機 HART Device DTM

TYPO3

Cisco

追記

いろいろ (2014.12.23) (unzip)

露カスペルスキー社、ハッカー集団「Equation Group」に関する報告書発表―高度なスパイウェアを駆使 (2015.02.18)

 関連:

2015 年 2 月のマイクロソフト セキュリティ情報の概要 (2015.02.16)

「ノートン」更新でIEに障害 PCセキュリティソフト (2015.02.21)

 関連:

lenovo、ノート PC・タブレットにアドウェア Superfish をプリインストール、通信の盗聴・改竄やニセ Web サイトの設置の危険性
(various, 2015.02.19〜)

 2014 年 9 月〜12 月にかけて、lenovo の非 ThinkPad なノート PC・タブレットの一部において、アドウェア Superfish がプリインストールされていた。Superfish 自身は中間介入攻撃 (Man-in-the-Middle 攻撃) を実施し、ユーザーの web 通信を盗聴した上で、SSL/TLS で暗号化されていた場合でも、web に広告を挿入してしまう (通信の改竄)。また Superfish がインストールし使用する Superfish CA ルート証明書の秘密鍵が Superfish 本体に内蔵されているため、これを取り出すことで、ニセのセキュア Web サイトの設置が可能になってしまう (Superfish CA ルート証明書をインストールした PC にしか効かないニセサイトではあるが)。 さらに、Superfish プログラム自体に複数のセキュリティ欠陥が存在していたことも明らかとなっている。

 プリインストールは 2015 年 1 月に停止され、Superfish についてもサーバー側で無効化されたが、この件はサポートフォーラムで告知されたのみで、広くは公表されなかった。 また Superfish CA ルート証明書は削除されなかったため、ニセのセキュア Web サイトの設置が可能になってしまう問題は残ったままだった。

 HT102632 によると、対象となるのは lenovo の次の機種。ThinkPad、デスクトップ PC、スマートフォン、エンタープライズ製品(サーバー、ストレージ)には含まれないという。

G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch
Y シリーズ: Y430P, Y40-70, Y50-70
Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E シリーズ: E10-30

 対応としては、Superfish CA の削除を含んだ自動削除ツールが公開されているので、これを実行すればよい。削除されたことを確認したい場合は、コントロールパネルの「プログラムと機能」に Superfish が無いことを確認してから、 ブラウザ毎に https://filippo.io/Badfish/ でテストしてみればよい。

 詳細解説:

 関連:

 天仙娘娘さん情報ありがとうございます。

2015.02.23 追記:

 同様の事例が、Komodia のライブラリを使っている製品や、Comodo Internet Security に含まれる Privdog で発生しているそうです (Superfish も Komodia のライブラリを使用)。 https://filippo.io/Badfish/ も改訂され、これらへの対応が加えられています。

 あと、Windows Defender でも削除されるようになったそうです。でも Firefox にインストールされたルート証明書には対応してないそうで。

2015.02.24 追記:

 関連:

2015.02.27 追記:

 関連:

2015.03.03 追記:

 関連:


2015.02.22

PHP 5.6.6 / 5.5.22 / 5.4.38 公開
(PHP, 2015.02.19)

 PHP 5.6.6 / 5.5.22 / 5.4.38 公開されました。 CVE-2015-0273 の修正と、 CVE-2015-0235 (GHOST の件) の緩和策が含まれています。

NSA、巨大SIM企業をハッキングし全世界のSIMを制御していた
(iPhone Mania, 2015.02.21)

 またまたスノーデン情報。NSA + GCHQ が「世界最大のSIMカード製造会社であるGemelto」をハクって暗号鍵を不正入手。

Gemeltoはアメリカの4大キャリア(Verizon、AT&T、Sprint、T-Mobile)のほか、世界各国で450キャリアのSIMカードを製造しています。もちろん、日本の3大キャリア(NTTドコモ、KDDI、ソフトバンクモバイル)もGelemtoの顧客です。

 こんなところに単一障害点があったのですね……。

これによってNSAは、携帯を使ったやり取りを、通信会社や海外政府の許可無く直接傍受できるようになります。この暗号キーを使えば証明書や盗聴器といったものとは無縁でいられるうえ、プロバイダのネットワーク上に痕跡を残さずにやり取りを傍受することが可能です。

 うへえ。関連:

2015.02.23 追記:

 関連:

2015.02.24 追記:

 関連:

2015.02.27 追記:

 関連:

2015.03.09 追記:

 関連:


2015.02.21

「ノートン」更新でIEに障害 PCセキュリティソフト
(朝日, 2015.02.21)

 シマンテックのアンチマルウェア製品を使っていると IE が crash するという事象が発生していた模様。現在は修正されている。

2015.02.23 追記:

 関連:


2015.02.20


2015.02.19

いろいろ (2015.02.19)
(various)

oVirt

OpenLDAP

Asterisk

追記

2015 年 2 月のマイクロソフト セキュリティ情報の概要 (2015.02.16)

 Internet Explorer版 PhishWallクライアント最新版(ver3.5.19)への更新のお願い (セキュアブレイン, 2015.02.17)。今回の更新を適用すると、IE 版 PhishWall クライアント ver3.5.14 以前で IE が停まる不具合が発生。最新版 ver3.5.19 にはこの問題はない。アンインストール→最新版インストール、で対応可能。 (更新機能はないのですね……)

 MS15-010 でフォント品質低下の件、更新プログラムが公開されました: 3013455 (MS15-010) のセキュリティ更新プログラムをインストールした後、テキストの品質の劣化を修正します。 (Microsoft KB 3037639)

BIND 9.xの脆弱性(DNSサービスの停止)について(2015年2月19日公開) - DNSSEC検証を実施しているDNSサーバーのみ対象、バージョンアップを強く推奨 -
(JPRS, 2015.02.19)

 BIND 9.7 以降に欠陥。DNSSEC 検証の実装に欠陥があり、特定の状況において named が異常終了または異常動作する。CVE-2015-1349

 BIND 9.10.1-P2、9.9.6-P2 で修正されている。また、トラストアンカーの自動更新機能を無効に設定することで回避できる。

 谷口さん情報ありがとうございます。

RFC7465: Prohibiting RC4 Cipher Suites
(IETF, 2015.02)

 TLS での RC4 使用を禁止。TLS クライアントは ClientHello に RC4 を入れちゃ駄目 (MUST NOT)。TLS サーバーは ClientHello に RC4 が入っていても受け入れちゃ駄目 (MUST NOT)。ClientHello が RC4 だけの場合は、ハンドシェークを終了しなければならない (MUST)。


2015.02.18

露カスペルスキー社、ハッカー集団「Equation Group」に関する報告書発表―高度なスパイウェアを駆使
(Intelligence News and Reports, 2015.02.18)

 Equation Group はマルウェア銀河のデス・スターなのだそうです。助けてオビ=ワン・ケノービ、あなただけが頼り。

2015.02.23 追記:

 関連:


2015.02.17

追記

2015 年 2 月のマイクロソフト セキュリティ情報の概要 (2015.02.16)

 Windows Server 2003、Vista、Server 2008 で MS15-010 の更新プログラム 3013455 を適用すると、特定の状況においてフォント品質が低下する不具合が発生するそうです。更新版や Fix it 等はまだ公開されていません。

 IE 11 に MS15-009 の更新プログラム 3021952 をインストールすると 3023607 が同時にインストールされますが、Windows 8.1・Server 2012 R2 + Cisco AnyConnect Secure Mobility Client の環境において VPN 接続に失敗する不具合が発生するそうです。こちらについては Fix it が公開されてます。


2015.02.16

2015 年 2 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2015.02.11)

 出ました。

MS15-009 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (3034682)

 IE 6〜11 に 41 件のセキュリティ欠陥、内 1 件 CVE-2014-8967 は公開済、1 件 CVE-2015-0071 は 0-day。

 3021952 をインストールし、再起動後に 3034196 をインストール。 また IE 11 では、3021952 と同時に 3023607 と 3036197 (後者は Windows 8.1、Server 2012 R2、RT 8.1 のみ) もインストールされる。

MS15-010 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3036220)

 Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に 6 件の欠陥 (内 1 件 CVE-2015-0010 は公開済)。

  • Win32k の特権の昇格の脆弱性 - CVE-2015-0003。 Exploitability Index: 2

  • CNG セキュリティ機能のバイパスの脆弱性 - CVE-2015-0010。 Exploitability Index: 2

  • Win32k の特権の昇格の脆弱性 - CVE-2015-0057。 Exploitability Index: 2

  • Windows カーソル オブジェクトのダブル フリーの脆弱性 - CVE-2015-0058。 Exploitability Index: 2

  • TrueType フォント解析のリモートでコードが実行される脆弱性 - CVE-2015-0059。 Exploitability Index: 2

  • Windows フォント ドライバーのサービス拒否の脆弱性 - CVE-2015-0060。 Exploitability Index: N/A

MS15-011 - 緊急: グループ ポリシーの脆弱性により、リモートでコードが実行される (3000483)

 Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。 DC に接続する際のポリシーデータの受信・適用処理に欠陥があり、 任意のコードが実行される。CVE-2015-0008。Exploitability Index: 1

 更新プログラムの適用だけでは解決されないので注意。 詳細は、グループポリシーの脆弱性は MS15-011(3000483) の更新だけでは解決されない (山市良のえぬなんとかわーるど, 2015.02.16) を参照。

MS15-012 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (3032328)

 Office 2007、2010、2013、Word Viewer、Excel Viewer、Office 互換機能パック SP3、SharePoint Server 2010、Office Web Apps 2010 に 3 つの欠陥。

  • Excel のリモートでコードが実行される脆弱性 - CVE-2015-0063。 Exploitability Index: 1

  • Office のリモートでコードが実行される脆弱性 - CVE-2015-0064。 Exploitability Index: 1

  • OneTableDocumentStream のリモートでコードが実行される脆弱性 - CVE-2015-0065。 Exploitability Index: 1

MS15-013 - 重要: Microsoft Office の脆弱性により、セキュリティ機能のバイパスが起こる (3033857)

 Office 2007、2010、2013 に公開済みの欠陥。ASLR を使えない場合に、 セキュリティ機能を回避される。CVE-2014-6362。Exploitability Index: 1

MS15-014 - 重要: グループ ポリシーの脆弱性により、セキュリティ機能のバイパスが起こる (3004361)

 Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。 「セキュリティ構成ポリシーのグループ ポリシー アプリケーションにセキュリティ機能のバイパスの脆弱性が存在」。CVE-2015-0009。Exploitability Index: 2

MS15-015 - 重要: Microsoft Windows の脆弱性により、特権が昇格される (3031432)

 Windows 7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。「通常のプロセスでは使用できない SeAssignPrimaryTokenPrivilege をプロセスが使用する」場合に、local user による権限上昇が可能。CVE-2015-0062。 Exploitability Index: 2

MS15-016 - 重要: Microsoft Graphics コンポーネントの脆弱性により、情報の漏えいが起こる (3029944)

 Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。 TIFF 画像の処理に欠陥があり、攻略 Web サイトを閲覧すると情報漏洩が発生。CVE-2015-0061。 Exploitability Index: 2

MS15-017 - 重要: Virtual Machine Manager の脆弱性により、特権が昇格される (3035898)

 Microsoft System Center Virtual Machine Manager 2012 R2 に欠陥。 Active Directory ログオンしたユーザによる権限上昇が可能。 CVE-2015-0012。Exploitability Index: 2

 関連:

2015.02.17 追記:

 Windows Server 2003、Vista、Server 2008 で MS15-010 の更新プログラム 3013455 を適用すると、特定の状況においてフォント品質が低下する不具合が発生するそうです。更新版や Fix it 等はまだ公開されていません。

 IE 11 に MS15-009 の更新プログラム 3021952 をインストールすると 3023607 が同時にインストールされますが、Windows 8.1・Server 2012 R2 + Cisco AnyConnect Secure Mobility Client の環境において VPN 接続に失敗する不具合が発生するそうです。こちらについては Fix it が公開されてます。

2015.02.19 追記:

 Internet Explorer版 PhishWallクライアント最新版(ver3.5.19)への更新のお願い (セキュアブレイン, 2015.02.17)。今回の更新を適用すると、IE 版 PhishWall クライアント ver3.5.14 以前で IE が停まる不具合が発生。最新版 ver3.5.19 にはこの問題はない。アンインストール→最新版インストール、で対応可能。 (更新機能はないのですね……)

 MS15-010 でフォント品質低下の件、更新プログラムが公開されました: 3013455 (MS15-010) のセキュリティ更新プログラムをインストールした後、テキストの品質の劣化を修正します。 (Microsoft KB 3037639)

2015.02.23 追記:

 マイクロソフト セキュリティ情報 MS15-011「グループ ポリシーの脆弱性により、リモートでコードが実行される」適用ガイド (Active Directory 環境をご利用のお客様のみ対象) (日本のセキュリティチーム, 2015.02.20)


2015.02.15

追記

APSB15-04 - Security updates available for Adobe Flash Player (2015.02.06)


2015.02.13

追記

Flash Player に 0-day 欠陥、Angler Exploit Kit で確認 (2015.01.22)

APSA15-02 - Security Advisory for Adobe Flash Player (2015.02.03)

 関連: に Flashのゼロデイ脆弱性「CVE-2015-0313」と不正プログラム「BEDEP」ファミリとの関連性 (トレンドマイクロ セキュリティ blog, 2015.02.09) を追記。

いろいろ (2015.02.13)
(various)

rsync

スマホ通帳 (大垣共立銀行)

Adobe Reader / Acrobat

Xen

Movable Type

b2evolution

D-Bus

PerlTreeBBS


2015.02.12

いろいろ (2015.02.12)
(various)

moodle

PostgreSQL

追記

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 IE 11 方面。


2015.02.10


2015.02.09

追記

IE 11に新たな脆弱性、ユニバーサルXSS攻撃の被害に遭う可能性 (2015.02.06)


2015.02.07


2015.02.06

IE 11に新たな脆弱性、ユニバーサルXSS攻撃の被害に遭う可能性
(Internet Watch, 2015.02.06)

 Windows 7 および 8.1 上の IE 11 にユニバーサル クロスサイトスクリプティング (UXSS) 欠陥が存在。

2015.02.09 追記:

 関連:

いろいろ (2015.02.06)
(various)

ntp

 ntp 4.2.8 以前に 2 件の欠陥、4.2.8p1 で修正。

 http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities を参照。

Cisco WebEx

ActiveMQ

WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行
(ITmedia, 2015.02.06)

 Fancybox for WordPress 3.0.2 以前に 0-day 欠陥があり、外部から任意のスクリプト/コンテンツを追加できる。CVE-2015-1494

 Fancybox 3.0.3 で修正されている。また 3.0.4 では、設定名を変更することで、既に攻略されスクリプトを挿入されている場合でも、そのスクリプトが動かないようにされている。

追記

glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について (2015.01.28)

 関連: に 緊急コラム: glibc 脆弱性( CVE-2015-0235 )の影響範囲の調査方法について (NTT データ先端技術)、 緊急コラム「 glibc 脆弱性( CVE-2015-0235 )の影響範囲の調査方法について」が掲載されました。 (熊猫さくらのブログ, 2015.02.03) を追加。

調査方法2:実測に基づき調査する方法( RHEL 7 用)
(中略)
Linux 3.5 で追加された UPROBES 機能が利用可能なカーネルの場合、第14回「 SystemTap ノススメ」( http://www.intellilink.co.jp/article/column/oss14.html )に登場したSystemTap を用いてユーザ空間の関数呼び出しも捕捉できるようになる (*13) ため、System Call Auditing や TOMOYO Linux / AKARI のようにカーネル内部で捕捉する方法では対処できない今回のようなケースにも対応できるようになります。以下に手順を示します。

APSA15-02 - Security Advisory for Adobe Flash Player (2015.02.03)

 Flash Player 16.0.0.305 等公開されました。 APSB15-04 - Security updates available for Adobe Flash Player (Adobe, 2015.02.05)

 関連: に Flashのゼロデイ脆弱性「CVE-2015-0313」の解析 (トレンドマイクロ セキュリティ blog, 2015.02.06) を追記。

Chrome Stable Channel Update
(Google, 2015.02.05)

 Chrome 40.0.2214.111 公開。11 件のセキュリティ欠陥が修正されている。iida さん情報ありがとうございます。

APSB15-04 - Security updates available for Adobe Flash Player
(Adobe, 2015.02.05)

 Flash Player 更新出ました。APSA15-02 - Security Advisory for Adobe Flash Player の件 (CVE-2015-0313) だけでなく、他にも 17 件 (合計 18 件) のセキュリティ欠陥が修正されている。 CVE-2015-0314 CVE-2015-0315 CVE-2015-0316 CVE-2015-0317 CVE-2015-0318 CVE-2015-0319 CVE-2015-0320 CVE-2015-0321 CVE-2015-0322 CVE-2015-0323 CVE-2015-0324 CVE-2015-0325 CVE-2015-0326 CVE-2015-0327 CVE-2015-0328 CVE-2015-0329 CVE-2015-0330。 0-day は CVE-2015-0313 だけのようだ。 Priority rating は Linux 版が 3、他は 1。

プラットホーム バージョン
Windows (ActiveX) 16.0.0.305
Windows (NPAPI プラグイン) 16.0.0.305
Windows (PPAPI プラグイン) 16.0.0.305
Mac 16.0.0.305
Linux 11.2.202.442
Google Chrome 16.0.0.305
Windows 8 / Server 2012 / RT の Internet Explorer 10 16.0.0.305
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 16.0.0.305

 (Linux 版誤記修正: 中田さん感謝)

 関連:

2015.02.15 追記:

 (^Exploiting)\s*(CVE-2015-0318)\s*(in)\s*(Flash$) (Project Zero, 2015.02.12)


2015.02.05

追記

APSA15-02 - Security Advisory for Adobe Flash Player (2015.02.03)

 APSA15-02 が 2015.02.04 付で改訂された。

  • Flash Player の自動更新を開始。16.0.0.305 に。

  • 手動ダウンロードについては 2015.02.05 (US 時間) に開始される予定。

  • Chrome、IE 10/11 への対応についても作業中。


2015.02.04

Apache HTTP Server 2.4.12 Released
(Apache.org, 2015.01.29)

 Apache 2.4.12 公開。4 件のセキュリティ欠陥が修正されている。iida さん情報ありがとうございます。

 なお Apache 2.4.11 は欠番となっている。

追記

APSA15-02 - Security Advisory for Adobe Flash Player (2015.02.03)


2015.02.03

追記

glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について (2015.01.28)

 その他製品の対応 に CVE-2015-0235-workaround (github) を追加。

APSA15-02 - Security Advisory for Adobe Flash Player
(Adobe, 2015.02.02)

 Flash Player 16.0.0.296 以前の 16.x 系列、13.0.0.264 以前の 13.x 系列に 0-day 欠陥、任意のコードの実行を招く。Linux 版 11.2.202.440 にはこの欠陥はない。 CVE-2015-0313。 修正版は 2015.02.02 の週 (今週) に公開される予定。

 ……公開されました: APSB15-04 - Security updates available for Adobe Flash Player (Adobe, 2015.02.05)

 関連:

2015.02.03 追記:

 APSA15-02 が改訂されたのにあわせて、欠陥のあるバージョンについて、より明確に記述し直した。16.x / 13.x 系列にこの欠陥があり、Linux 版 11.2.202.440 にはこの欠陥はない。 11.x 以前には、今回の欠陥に関連する機能が含まれないそうだ。

 関連: に New Adobe Flash zero-day is being exploited in the wild (Symantec, 2015.02.02) を追加。

2015.02.04 追記:

 以下を追記。

2015.02.05 追記:

 APSA15-02 が 2015.02.04 付で改訂された。

2015.02.06 追記:

 Flash Player 16.0.0.305 等公開されました。 APSB15-04 - Security updates available for Adobe Flash Player (Adobe, 2015.02.05)

 関連: に Flashのゼロデイ脆弱性「CVE-2015-0313」の解析 (トレンドマイクロ セキュリティ blog, 2015.02.06) を追記。

2015.02.13 追記:

 関連: に Flashのゼロデイ脆弱性「CVE-2015-0313」と不正プログラム「BEDEP」ファミリとの関連性 (トレンドマイクロ セキュリティ blog, 2015.02.09) を追記。


2015.02.02

いろいろ (2015.02.02)
(various)

Bugzilla

Cisco NX-OS

phpBB

日立


[セキュリティホール memo]
[私について]