ページの本文へ

Hitachi

日立システムズ SHIELD Security Research Center

2017年01月05日初版公開

1.2016年12月に公開された危険度の高い脆弱性情報

掲載範囲:CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-8825)

ベンダ情報 NVIDIA SUPPORT : Security Bulletin: Multiple vulnerabilities in the NVIDIA Windows GPU Display Driver kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape and a vulnerability in the Linux GPU Display Driver kernel mode layer (nvidia.ko)
http://nvidia.custhelp.com/app/answers/detail/a_id/4278
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤ (nvlddmkm.sys) のハンドラは、入力バッファのサイズを検証しないため、サービス運用妨害 (DoS) 状態にされる、または権限を昇格される脆弱性が存在します。
影響を受ける製品 NVIDIA
NVIDIA GPU ディスプレイドライバ 全てのバージョン
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006443)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006443.html
Vulnerability Summary for CVE-2016-8825 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8825

(2)NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおける特権ユーザ専用のレジストリの一部に書き込まれる脆弱性(CVE-2016-8824)

ベンダ情報 NVIDIA SUPPORT : Security Bulletin: Multiple vulnerabilities in the NVIDIA Windows GPU Display Driver kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape and a vulnerability in the Linux GPU Display Driver kernel mode layer (nvidia.ko)
http://nvidia.custhelp.com/app/answers/detail/a_id/4278
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤ (nvlddmkm.sys) のハンドラは、アクセス制御が適切でないため、通常のユーザにより特権ユーザ専用のレジストリの一部に書き込まれ、その結果、権限の昇格を引き起こされる脆弱性が存在します。
影響を受ける製品 NVIDIA
NVIDIA GPU ディスプレイドライバ 全てのバージョン
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおける特権ユーザ専用のレジストリの一部に書き込まれる脆弱性(JVNDB-2016-006442)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006442.html
Vulnerability Summary for CVE-2016-8824 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8824

(3)NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-8823)

ベンダ情報 NVIDIA SUPPORT : Security Bulletin: Multiple vulnerabilities in the NVIDIA Windows GPU Display Driver kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape and a vulnerability in the Linux GPU Display Driver kernel mode layer (nvidia.ko)
http://nvidia.custhelp.com/app/answers/detail/a_id/4278
Talos Vulnerability Report : TALOS-2016-0217
http://www.talosintelligence.com/reports/TALOS-2016-0217/
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラは、入力バッファのサイズを検証しないため、サービス運用妨害 (DoS) 状態にされる、または権限を昇格される脆弱性が存在します。
影響を受ける製品 NVIDIA
NVIDIA GPU ディスプレイドライバ 全てのバージョン
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006441)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006441.html
Vulnerability Summary for CVE-2016-8823 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8823

(4)NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおける任意の物理メモリにアクセスされる脆弱性(CVE-2016-8821)

ベンダ情報 NVIDIA SUPPORT : Security Bulletin: Multiple vulnerabilities in the NVIDIA Windows GPU Display Driver kernel mode layer (nvlddmkm.sys) handler for DxgDdiEscape and a vulnerability in the Linux GPU Display Driver kernel mode layer (nvidia.ko)
http://nvidia.custhelp.com/app/answers/detail/a_id/4278
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラは、アクセス制御が不適切なため、任意の物理メモリにアクセスされ、その結果、権限の昇格を引き起こされる脆弱性が存在します。
影響を受ける製品 NVIDIA
NVIDIA GPU ディスプレイドライバ 全てのバージョン
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 NVIDIA の Windows GPU ディスプレイドライバの DxgDdiEscape 用カーネルモードレイヤのハンドラにおける任意の物理メモリにアクセスされる脆弱性(JVNDB-2016-006440)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006440.html
Vulnerability Summary for CVE-2016-8821 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8821

(5)Apport のクラッシュファイルの "Package" および "SourcePackage" フィールドにおけるパストラバーサルの脆弱性(CVE-2016-9950)

ベンダ情報 GitHub : Code Execution on Ubuntu Desktop >= 12.10 (Quantal)
https://github.com/DonnchaC/ubuntu-apport-exploitation
launchpad : Bug #1648806
https://bugs.launchpad.net/apport/+bug/1648806
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Apport のクラッシュファイルの "Package" および "SourcePackage" フィールドは、/usr/share/apport/package-hooks/ ディレクトリのパッケージの特定の hook ファイルへのパスの確立に使用されるため、パストラバーサルの脆弱性が存在します。
影響を受ける製品 Canonical
Ubuntu 12.10 およびそれ以前
Apport project
Apport 2.20.4 未満
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Apport のクラッシュファイルの "Package" および "SourcePackage" フィールドにおけるパストラバーサルの脆弱性(JVNDB-2016-006439)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006439.html
Vulnerability Summary for CVE-2016-9950 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9950

(6)Apport の apport/ui.py における任意の Python コードを実行される脆弱性(CVE-2016-9949)

ベンダ情報 GitHub : Code Execution on Ubuntu Desktop >= 12.10 (Quantal)
https://github.com/DonnchaC/ubuntu-apport-exploitation
launchpad : Bug #1648806
https://bugs.launchpad.net/apport/+bug/1648806
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Apport の apport/ui.py には、任意の Python コードを実行される脆弱性が存在します。
影響を受ける製品 Canonical
Ubuntu 12.10 およびそれ以前
Apport project
Apport 2.20.4 未満
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Apport の apport/ui.py における任意の Python コードを実行される脆弱性(JVNDB-2016-006438)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006438.html
Vulnerability Summary for CVE-2016-9949 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9949

(7)複数の NETGEAR 製ルータに脆弱性(CVE-2016-6277)

ベンダ情報 NETGEAR Support : Security Advisory for CVE-2016-6277, PSV-2016-0245
http://kb.netgear.com/000036386/CVE-2016-582384
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 複数の NETGEAR 製ルータには、複数の脆弱性が存在します。 コマンドインジェクション (CWE-77) - CVE-2016-6277 重要な機能に対する認証欠如の問題 (CWE-306) クロスサイトリクエストフォージェリ (CWE-352) NETGEAR 製の複数のルータにはコマンドインジェクションの脆弱性が存在します。 LAN 内の攻撃者は http://<router_IP>/cgi-bin/;COMMAND にアクセスすることで、認証を要求されることなく、当該製品の管理者権限で任意のコマンドを実行することが可能です。 また、当該製品にアクセス可能なユーザが、細工されたページにアクセスすることで、上のような URL へアクセスさせられ、結果として当該製品の管理者権限で任意のコマンドを実行させられる可能性があります。 CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') https://cwe.mitre.org/data/definitions/77.html CWE-306: Missing Authentication for Critical Function https://cwe.mitre.org/data/definitions/306.html CWE-352: Cross-Site Request Forgery (CSRF) https://cwe.mitre.org/data/definitions/352.html
影響を受ける製品 ネットギア
D6220 HASH(0x942ee48)
D6400 HASH(0x93cdca0)
R6250 HASH(0x940d458)
R6400 HASH(0x91278e0)
R6700 HASH(0x94337a0)
R6900 HASH(0x93fb0b8)
R7000 HASH(0x9410130)
R7100LG HASH(0x9432fb0)
R7300DST HASH(0x941fbe0)
R7900 HASH(0x9432f20)
R8000 HASH(0x9404998)
対策 [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。  開発者が提供する情報  https://kb.netgear.com/000036386/ [ワークアラウンドを実施する] ファームウェアの対策が行われていない製品のユーザは、本脆弱性の影響を回避するため、次のワークアラウンドを実施してください。  * ウェブサーバを無効化する   本脆弱性を使用し、次のような URL にアクセスすることで、当該製品で動作し   ているウェブサーバを停止することが可能です。   http://<router_IP>/cgi-bin/;killall$IFS'httpd'   これにより、ルータの管理画面は使用できなくなります (機器を再起動すること   で、元の脆弱な状態に戻ります)。   詳しくは Bas' Blog の投稿をご確認ください。   Bas' Blog   http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/  * リモート管理機能を無効にする   リモート管理機能を有効にすると、WAN 側から攻撃を受ける可能性があります。   リモート管理機能は無効にしてください。  * 当該製品を使用しない   この脆弱性を使用した攻撃は容易に実行可能です。対策済みファームウェアへの更   新を行うまで、当該製品の使用停止を検討してください。
参考情報 複数の NETGEAR 製ルータに脆弱性(JVNDB-2016-006166)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006166.html
Vulnerability Summary for CVE-2016-6277 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6277

(8)Nagios Core の base/logging.c における root 権限を取得される脆弱性(CVE-2016-9566)

ベンダ情報 GitHub : Merge branch 'maint'
https://github.com/NagiosEnterprises/nagioscore/commit/c29557dec91eba2306f5fb11b8da4474ba63f8c4
Nagios : Nagios Core 4.x Version History: 4.2.4 - 12/07/2016
https://www.nagios.org/projects/nagios-core/history/4x/
Red Hat Bugzilla : Bug 1402869
https://bugzilla.redhat.com/show_bug.cgi?id=1402869
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Nagios Core の base/logging.c には、root 権限を取得される脆弱性が存在します。
影響を受ける製品 Nagios Enterprises, LLC
Nagios Core 4.2.4 未満
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Nagios Core の base/logging.c における root 権限を取得される脆弱性(JVNDB-2016-006389)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006389.html
Vulnerability Summary for CVE-2016-9566 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9566

(9)Adobe DNG Converter におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7856)

ベンダ情報 Adobe Security Bulletin : APSB16-41
https://helpx.adobe.com/security/products/dng-converter/apsb16-41.html
Adobe セキュリティ情報 : APSB16-41
https://helpx.adobe.com/jp/security/products/dng-converter/apsb16-41.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe DNG Converter には、サービス運用妨害 (メモリ破損) 状態にされ、その結果、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe DNG Converter 9.8 未満
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe DNG Converter におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006387)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006387.html
Vulnerability Summary for CVE-2016-7856 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7856

(10)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-7298)

ベンダ情報 Microsoft Security Bulletin : MS16-148
https://technet.microsoft.com/en-us/library/security/ms16-148.aspx
マイクロソフト セキュリティ情報 : MS16-148
https://technet.microsoft.com/ja-jp/library/security/ms16-148.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 複数の Microsoft Office 製品には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Office for Mac 2011
Microsoft Office for Mac 2016
Microsoft Word Viewer HASH(0x943d400)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Office 製品における任意のコードを実行される脆弱性(JVNDB-2016-006368)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006368.html
Vulnerability Summary for CVE-2016-7298 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7298

(11)Microsoft Publisher 2010 における任意のコードを実行される脆弱性(CVE-2016-7289)

ベンダ情報 Microsoft Security Bulletin : MS16-148
https://technet.microsoft.com/en-us/library/security/ms16-148.aspx
マイクロソフト セキュリティ情報 : MS16-148
https://technet.microsoft.com/ja-jp/library/security/ms16-148.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Microsoft Publisher 2010 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Publisher 2010 SP2 (32 ビット版)
Microsoft Publisher 2010 SP2 (64 ビット版)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Publisher 2010 における任意のコードを実行される脆弱性(JVNDB-2016-006365)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006365.html
Vulnerability Summary for CVE-2016-7289 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7289

(12)SKYSEA Client View において任意のコードが実行可能な脆弱性(CVE-2016-7836)

ベンダ情報 Sky株式会社 : グローバルIPアドレス環境で運用されている場合の注意喚起
http://www.skyseaclientview.net/news/161221/
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Sky株式会社が提供する SKYSEA Client View は、IT 資産管理用ツールです。SKYSEA Client View のエージェントプログラムには、管理機プログラムとの TCP 通信における認証処理に起因する任意のコードが実行可能な脆弱性が存在します。 なお、本脆弱性を使用した攻撃活動が観測されています。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
影響を受ける製品 Sky株式会社
SKYSEA Client View Ver.11.221.03 およびそれ以前
対策 [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性の対策版として SKYSEA Client View Ver.11.300.08h をリリースしています。 [パッチを適用する] 開発者が提供する情報をもとに、本脆弱性の対策パッチを適用してください。 パッチは開発者が提供する保守サイトからダウンロード可能です。 [ワークアラウンドを実施する] 対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ・SKYSEA Client View に対する外部からの通信を制限する
参考情報 SKYSEA Client View において任意のコードが実行可能な脆弱性(JVNDB-2016-000249)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000249.html
Vulnerability Summary for CVE-2016-7836 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7836

(13)複数の Microsoft Windows の Uniscribe における任意のコードを実行される脆弱性(CVE-2016-7274)

ベンダ情報 Microsoft Security Bulletin : MS16-147
https://technet.microsoft.com/en-us/library/security/ms16-147.aspx
マイクロソフト セキュリティ情報 : MS16-147
https://technet.microsoft.com/ja-jp/library/security/ms16-147.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 複数の Microsoft Windows の Uniscribe には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Uniscribe のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x940d518)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems(Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Windows の Uniscribe における任意のコードを実行される脆弱性(JVNDB-2016-006359)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006359.html
Vulnerability Summary for CVE-2016-7274 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7274

(14)複数の Microsoft Windows 製品のカーネルモードドライバのグラフィックコンポーネントにおける権限昇格の脆弱性(CVE-2016-7259)

ベンダ情報 Microsoft Security Bulletin : MS16-151
https://technet.microsoft.com/en-us/library/security/ms16-151.aspx
マイクロソフト セキュリティ情報 : MS16-151
https://technet.microsoft.com/ja-jp/library/security/ms16-151.aspx
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 複数の Microsoft Windows 製品のカーネルモードドライバのグラフィックコンポーネントには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x9388948)
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x9389288)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Windows 製品のカーネルモードドライバのグラフィックコンポーネントにおける権限昇格の脆弱性(JVNDB-2016-006358)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006358.html
Vulnerability Summary for CVE-2016-7259 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7259

(15)複数の Microsoft Windows 製品のインストーラーにおける権限昇格の脆弱性(CVE-2016-7292)

ベンダ情報 Microsoft Security Bulletin : MS16-149
https://technet.microsoft.com/en-us/library/security/ms16-149.aspx
マイクロソフト セキュリティ情報 : MS16-149
https://technet.microsoft.com/ja-jp/library/security/ms16-149.aspx
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 複数の Microsoft Windows 製品のインストーラーは、ライブラリ読み込みを誤って処理するため、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows インストーラーの特権の昇格の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x9404ea8)
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x942a2f0)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Windows 製品のインストーラーにおける権限昇格の脆弱性(JVNDB-2016-006357)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006357.html
Vulnerability Summary for CVE-2016-7292 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7292

(16)複数の Microsoft Windows 製品の Graphics コンポーネントにおける任意のコードを実行される脆弱性(CVE-2016-7272)

ベンダ情報 Microsoft Security Bulletin : MS16-146
https://technet.microsoft.com/en-us/library/security/ms16-146.aspx
マイクロソフト セキュリティ情報 : MS16-146
https://technet.microsoft.com/ja-jp/library/security/ms16-146.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 複数の Microsoft Windows 製品の Graphics コンポーネントには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Graphics のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x94331a0)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Windows 製品の Graphics コンポーネントにおける任意のコードを実行される脆弱性(JVNDB-2016-006354)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006354.html
Vulnerability Summary for CVE-2016-7272 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7272

(17)Microsoft Excel for Mac 2011 および Excel 2016 for Mac における任意のコードを実行される脆弱性(CVE-2016-7263)

ベンダ情報 Microsoft Security Bulletin : MS16-148
https://technet.microsoft.com/en-us/library/security/ms16-148.aspx
マイクロソフト セキュリティ情報 : MS16-148
https://technet.microsoft.com/ja-jp/library/security/ms16-148.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Microsoft Excel for Mac 2011 および Excel 2016 for Mac には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Excel for Mac 2011
Microsoft Excel for Mac 2016
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Excel for Mac 2011 および Excel 2016 for Mac における任意のコードを実行される脆弱性(JVNDB-2016-006352)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006352.html
Vulnerability Summary for CVE-2016-7263 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7263

(18)Microsoft Office 2016 における任意のコードを実行される脆弱性(CVE-2016-7277)

ベンダ情報 Microsoft Security Bulletin : MS16-148
https://technet.microsoft.com/en-us/library/security/ms16-148.aspx
マイクロソフト セキュリティ情報 : MS16-148
https://technet.microsoft.com/ja-jp/library/security/ms16-148.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Microsoft Office 2016 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Office 2016 (32 ビット版)
Microsoft Office 2016 (64 ビット版)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Office 2016 における任意のコードを実行される脆弱性(JVNDB-2016-006351)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006351.html
Vulnerability Summary for CVE-2016-7277 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7277

(19)複数の Microsoft Office 製品における権限昇格の脆弱性(CVE-2016-7275)

ベンダ情報 Microsoft Security Bulletin : MS16-148
https://technet.microsoft.com/en-us/library/security/ms16-148.aspx
マイクロソフト セキュリティ情報 : MS16-148
https://technet.microsoft.com/ja-jp/library/security/ms16-148.aspx
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Microsoft Office 2010、2013、および 2016 は、ライブラリの読み込みを誤って処理するため、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office OLE DLL のサイド ローディングの脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 (32 ビット版)
Microsoft Office 2013 SP1 (64 ビット版)
Microsoft Office 2016 (32 ビット版)
Microsoft Office 2016 (64 ビット版)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Office 製品における権限昇格の脆弱性(JVNDB-2016-006349)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006349.html
Vulnerability Summary for CVE-2016-7275 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7275

(20)Microsoft Windows 10 および Windows Server 2016 の Graphics コンポーネントにおける任意のコードを実行される脆弱性(CVE-2016-7273)

ベンダ情報 Microsoft Security Bulletin : MS16-146
https://technet.microsoft.com/en-us/library/security/ms16-146.aspx
マイクロソフト セキュリティ情報 : MS16-146
https://technet.microsoft.com/ja-jp/library/security/ms16-146.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Microsoft Windows 10 および Windows Server 2016 の Graphics コンポーネントには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Graphics のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems (Server Core インストール)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Windows 10 および Windows Server 2016 の Graphics コンポーネントにおける任意のコードを実行される脆弱性(JVNDB-2016-006347)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006347.html
Vulnerability Summary for CVE-2016-7273 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7273

(21)Microsoft Internet Explorer 11 および Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(CVE-2016-7287)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
Microsoft Security Bulletin : MS16-144
https://technet.microsoft.com/en-us/library/security/ms16-144.aspx
マイクロソフト セキュリティ情報 : MS16-144
https://technet.microsoft.com/ja-jp/library/security/ms16-144.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Internet Explorer 11 および Microsoft Edge のスクリプトエンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x92c1300)
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Internet Explorer 11 および Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-006346)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006346.html
Vulnerability Summary for CVE-2016-7287 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7287

(22)Microsoft Internet Explorer 9 から 11 における任意のコードを実行される脆弱性(CVE-2016-7283)

ベンダ情報 Microsoft Security Bulletin : MS16-144
https://technet.microsoft.com/en-us/library/security/ms16-144.aspx
マイクロソフト セキュリティ情報 : MS16-144
https://technet.microsoft.com/ja-jp/library/security/ms16-144.aspx
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 Microsoft Internet Explorer 9 から 11 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Internet Explorer のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)
Microsoft Internet Explorer 9
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Internet Explorer 9 から 11 における任意のコードを実行される脆弱性(JVNDB-2016-006344)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006344.html
Vulnerability Summary for CVE-2016-7283 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7283

(23)Microsoft Internet Explorer 9 から 11 および Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-7279)

ベンダ情報 Microsoft Security Bulletin : MS16-144
https://technet.microsoft.com/en-us/library/security/ms16-144.aspx
Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-144
https://technet.microsoft.com/ja-jp/library/security/ms16-144.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Internet Explorer 9 から 11 および Microsoft Edge には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft ブラウザーのメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x9429820)
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)
Microsoft Internet Explorer 9
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Internet Explorer 9 から 11 および Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-006341)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006341.html
Vulnerability Summary for CVE-2016-7279 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7279

(24)Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(CVE-2016-7297)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Edge のスクリプトエンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-7286、CVE-2016-7288、および CVE-2016-7296 とは異なる脆弱性です。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x93a7228)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-006339)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006339.html
Vulnerability Summary for CVE-2016-7297 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7297

(25)Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(CVE-2016-7296)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Edge のスクリプトエンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-7286、CVE-2016-7288、および CVE-2016-7297 とは異なる脆弱性です。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x94250e8)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-006338)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006338.html
Vulnerability Summary for CVE-2016-7296 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7296

(26)Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(CVE-2016-7288)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Edge のスクリプトエンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-7286、CVE-2016-7296、および CVE-2016-7297 とは異なる脆弱性です。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x942a500)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-006337)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006337.html
Vulnerability Summary for CVE-2016-7288 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7288

(27)Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(CVE-2016-7286)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Edge のスクリプトエンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-7288、CVE-2016-7296、および CVE-2016-7297 とは異なる脆弱性です。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x942ec38)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Edge のスクリプトエンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-006336)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006336.html
Vulnerability Summary for CVE-2016-7286 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7286

(28)Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-7181)

ベンダ情報 Microsoft Security Bulletin : MS16-145
https://technet.microsoft.com/en-us/library/security/ms16-145.aspx
マイクロソフト セキュリティ情報 : MS16-145
https://technet.microsoft.com/ja-jp/library/security/ms16-145.aspx
CVSS による深刻度 7.6 (危険) [ NVD値 ]
概要 Microsoft Edge には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Edge のメモリ破損の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x942eb98)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-006333)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006333.html
Vulnerability Summary for CVE-2016-7181 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7181

(29)複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(CVE-2016-7260)

ベンダ情報 Microsoft Security Bulletin : MS16-151
https://technet.microsoft.com/en-us/library/security/ms16-151.aspx
マイクロソフト セキュリティ情報 : MS16-151
https://technet.microsoft.com/ja-jp/library/security/ms16-151.aspx
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 複数の Microsoft Windows 製品のカーネルモードドライバには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。
影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x9429d60)
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x93fd868)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016 for x64-based Systems (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(JVNDB-2016-006331)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006331.html
Vulnerability Summary for CVE-2016-7260 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7260

(30)Joyent SmartOS の Hyprlofs ファイルシステムにおける整数オーバーフローの脆弱性(CVE-2016-8733)

ベンダ情報 Cisco : Cisco Japan Blog - Joyent SmartOS
http://gblogs.cisco.com/jp/2016/12/vulnerability-spotlight-joyent/
Joyent : SmartOS
https://www.joyent.com/smartos
Talos Vulnerability Report : TALOS-2016-0248
http://www.talosintelligence.com/reports/TALOS-2016-0248/
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Joyent SmartOS の Hyprlofs ファイルシステムの Ioctl システムコールの HYPRLOFS_ADD_ENTRIES コマンドには、ネイティブファイルシステムの処理の際に、整数オーバーフローの脆弱性が存在します。 本脆弱性は、CVE-2016-9031 とは異なる脆弱性です。
影響を受ける製品 Joyent, Inc.
SmartOS 20161110T013148Z
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Joyent SmartOS の Hyprlofs ファイルシステムにおける整数オーバーフローの脆弱性(JVNDB-2016-006323)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006323.html
Vulnerability Summary for CVE-2016-8733 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8733

(31)Cisco IOS XR ソフトウェアにおける root ユーザの権限でデバイスにログインされる脆弱性(CVE-2016-9215)

ベンダ情報 Cisco Security Advisory : cisco-sa-20161207-iosxr
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-iosxr
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Cisco IOS XR ソフトウェアには、root ユーザの権限でデバイスにログインされる脆弱性が存在します。 ベンダは、本脆弱性を CSCva38434 として公開しています。
影響を受ける製品 シスコシステムズ
Cisco IOS XR 6.1.1
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Cisco IOS XR ソフトウェアにおける root ユーザの権限でデバイスにログインされる脆弱性(JVNDB-2016-006321)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006321.html
Vulnerability Summary for CVE-2016-9215 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9215

(32)Windows 用 Cisco AnyConnect Secure Mobility Client における任意の実行可能なファイルをインストールされる脆弱性(CVE-2016-9192)

ベンダ情報 Cisco Security Advisory : cisco-sa-20161207-anyconnect1
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-anyconnect1
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Windows 用 Cisco AnyConnect Secure Mobility Client には、任意の実行可能なファイルをインストールされ、実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvb68043 として公開しています。
影響を受ける製品 シスコシステムズ
Cisco AnyConnect Secure Mobility Client 3.1 (60)
Cisco AnyConnect Secure Mobility Client 3.1.0
Cisco AnyConnect Secure Mobility Client 3.1.02043
Cisco AnyConnect Secure Mobility Client 3.1.05182
Cisco AnyConnect Secure Mobility Client 3.1.05187
Cisco AnyConnect Secure Mobility Client 3.1.06073
Cisco AnyConnect Secure Mobility Client 3.1.07021
Cisco AnyConnect Secure Mobility Client 4.0 (2049)
Cisco AnyConnect Secure Mobility Client 4.0 (48)
Cisco AnyConnect Secure Mobility Client 4.0 (64)
Cisco AnyConnect Secure Mobility Client 4.0.0
Cisco AnyConnect Secure Mobility Client 4.0.00048
Cisco AnyConnect Secure Mobility Client 4.0.00051
Cisco AnyConnect Secure Mobility Client 4.1 (8)
Cisco AnyConnect Secure Mobility Client 4.1.0
Cisco AnyConnect Secure Mobility Client 4.2.0
Cisco AnyConnect Secure Mobility Client 4.2.04039
Cisco AnyConnect Secure Mobility Client 4.3.0
Cisco AnyConnect Secure Mobility Client 4.3.00748
Cisco AnyConnect Secure Mobility Client 4.3.01095
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Windows 用 Cisco AnyConnect Secure Mobility Client における任意の実行可能なファイルをインストールされる脆弱性(JVNDB-2016-006314)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006314.html
Vulnerability Summary for CVE-2016-9192 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9192

(33)Cisco Hybrid Media Service のインストール手順における権限昇格の脆弱性(CVE-2016-6470)

ベンダ情報 Cisco Security Advisory : cisco-sa-20161207-hms
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-hms
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Cisco Hybrid Media Service のインストール手順には、root レベルに権限を昇格される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvb81344 として公開しています。
影響を受ける製品 シスコシステムズ
Hybrid Media Service 1.0
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Cisco Hybrid Media Service のインストール手順における権限昇格の脆弱性(JVNDB-2016-006311)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006311.html
Vulnerability Summary for CVE-2016-6470 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6470

(34)Adobe InDesign および InDesign Server におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7886)

ベンダ情報 Adobe Security Bulletin : APSB16-43
https://helpx.adobe.com/security/products/indesign/apsb16-43.html
Adobe セキュリティ情報 : APSB16-43
https://helpx.adobe.com/jp/security/products/indesign/apsb16-43.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe InDesign および InDesign Server には、サービス運用妨害 (メモリ破損) 状態にされ、その結果、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe InDesign 12.0.0 未満 (Windows/Macintosh)
Adobe InDesign Server 12.0.0 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe InDesign および InDesign Server におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006298)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006298.html
Vulnerability Summary for CVE-2016-7886 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7886

(35)Adobe Animate におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7866)

ベンダ情報 Adobe Security Bulletin : APSB16-38
https://helpx.adobe.com/security/products/animate/apsb16-38.html
Adobe セキュリティ情報 : APSB16-38
https://helpx.adobe.com/jp/security/products/animate/apsb16-38.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Animate には、サービス運用妨害 (メモリ破損) 状態にされ、その結果、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Animate 16.0.0.112 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Animate におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006295)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006295.html
Vulnerability Summary for CVE-2016-7866 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7866

(36)Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性(CVE-2016-7892)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 JPCERT/CC では本脆弱性が攻撃に使用されていることを確認しています。 また Adobe が提供する情報 (Adobe Security Bulletin) によると、本脆弱性は Internet Explorer (32-bit 版) を利用するユーザを対象とした攻撃活動において悪用されているとのことです:   "Adobe is aware of a report that an exploit for CVE-2016-7892 exists in the wild, and is being used in limited, targeted attacks against users running Internet Explorer (32-bit) on Windows." Adobe が提供する情報 (Adobe Security Bulletin) https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 [アップデートする] Adobe が提供する情報をもとに、最新版へアップデートしてください。 また今回のアップデートでは、他の脆弱性も修正されています。詳しくは、Adobe が提供する情報をご確認ください。
参考情報 Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性(JVNDB-2016-006232)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006232.html
Vulnerability Summary for CVE-2016-7892 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7892

(37)Adobe Flash Player の同一生成元ポリシーの実装におけるセキュリティを回避される脆弱性(CVE-2016-7890)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 7.5 (危険) [ NVD値 ]
概要 Adobe Flash Player の同一生成元ポリシーの実装には、セキュリティを回避される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の同一生成元ポリシーの実装におけるセキュリティを回避される脆弱性(JVNDB-2016-006248)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006248.html
Vulnerability Summary for CVE-2016-7890 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7890

(38)Adobe Flash Player の MovieClip クラスにおける任意のコードを実行される脆弱性(CVE-2016-7881)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の MovieClip クラスには、オブジェクトに対する変換処理の際、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の MovieClip クラスにおける任意のコードを実行される脆弱性(JVNDB-2016-006247)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006247.html
Vulnerability Summary for CVE-2016-7881 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7881

(39)Adobe Flash Player における任意のコードを実行される脆弱性(CVE-2016-7880)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player には、配列オブジェクトの length プロパティを設定する際、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player における任意のコードを実行される脆弱性(JVNDB-2016-006246)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006246.html
Vulnerability Summary for CVE-2016-7880 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7880

(40)Adobe Flash Player における任意のコードを実行される脆弱性(CVE-2016-7879)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player には、添付されたスクリプトオブジェクトを処理する際、解放済みメモリ使用 (use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player における任意のコードを実行される脆弱性(JVNDB-2016-006245)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006245.html
Vulnerability Summary for CVE-2016-7879 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7879

(41)Adobe Flash Player の PSDK のメディアプレイヤークラスにおける任意のコードを実行される脆弱性(CVE-2016-7878)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の PSDK のメディアプレイヤークラスには、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の PSDK のメディアプレイヤークラスにおける任意のコードを実行される脆弱性(JVNDB-2016-006244)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006244.html
Vulnerability Summary for CVE-2016-7878 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7878

(42)Adobe Flash Player の Action Message Format のシリアル化における任意のコードを実行される脆弱性(CVE-2016-7877)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の Action Message Format のシリアル化 (AFM0) には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の Action Message Format のシリアル化における任意のコードを実行される脆弱性(JVNDB-2016-006243)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006243.html
Vulnerability Summary for CVE-2016-7877 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7877

(43)Adobe Flash Player の Clipboard クラスにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7876)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の Clipboard クラスには、データ処理機能に関して不備があるため、サービス運用妨害 (メモリ破損) 状態にされる、および任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の Clipboard クラスにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006242)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006242.html
Vulnerability Summary for CVE-2016-7876 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7876

(44)Adobe Flash Player の BitmapData クラスにおける任意のコードを実行される脆弱性(CVE-2016-7875)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の BitmapData クラスには、整数オーバーフローにより、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の BitmapData クラスにおける任意のコードを実行される脆弱性(JVNDB-2016-006241)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006241.html
Vulnerability Summary for CVE-2016-7875 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7875

(45)Adobe Flash Player の NetConnection クラスにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7874)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の NetConnection クラスには、プロキシタイプの処理の際に、サービス運用妨害 (メモリ破損) 状態にされる、および任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の NetConnection クラスにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006240)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006240.html
Vulnerability Summary for CVE-2016-7874 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7874

(46)Adobe Flash Player の PSDK クラスにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7873)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の PSDK クラスには、ad ポリシー機能のメソッドに関する処理に不備があるため、サービス運用妨害 (メモリ破損) 状態にされる、および任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の PSDK クラスにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006239)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006239.html
Vulnerability Summary for CVE-2016-7873 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7873

(47)Adobe Flash Player の MovieClip クラスにおける任意のコードを実行される脆弱性(CVE-2016-7872)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の MovieClip クラスには、複数の presentation レベルのオブジェクトに関する処理に不備があるため、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の MovieClip クラスにおける任意のコードを実行される脆弱性(JVNDB-2016-006238)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006238.html
Vulnerability Summary for CVE-2016-7872 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7872

(48)Adobe Flash Player の Worker クラスにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-7871)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の Worker クラスには、サービス運用妨害 (メモリ破損) 状態にされる、および任意のコードを実行される脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の Worker クラスにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006237)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006237.html
Vulnerability Summary for CVE-2016-7871 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7871

(49)Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(CVE-2016-7870)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の RegExp クラスには、特定の検索戦略 (search strategy) に関する処理に不備があるため、バッファオーバーフローおよびバッファアンダーフローの脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(JVNDB-2016-006236)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006236.html
Vulnerability Summary for CVE-2016-7870 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7870

(50)Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(CVE-2016-7869)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の RegExp クラスには、バックトラック検索機能に関する処理に不備があるため、バッファオーバーフローおよびバッファアンダーフローの脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(JVNDB-2016-006235)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006235.html
Vulnerability Summary for CVE-2016-7869 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7869

(51)Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(CVE-2016-7868)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の RegExp クラスには、alternation 機能に関する処理に不備があるため、バッファオーバーフローおよびバッファアンダーフローの脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(JVNDB-2016-006234)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006234.html
Vulnerability Summary for CVE-2016-7868 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7868

(52)Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(CVE-2016-7867)

ベンダ情報 Adobe Security Bulletin : APSB16-39
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
Adobe セキュリティ情報 : APSB16-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html
Google : Google Chrome を更新する
https://support.google.com/chrome/answer/95414?hl=ja
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Chrome Releases
http://googlechromereleases.blogspot.jp/
Microsoft Security Advisory : MS16-154
https://technet.microsoft.com/en-us/library/security/ms16-154.aspx
マイクロソフト セキュリティ アドバイザリ : MS16-154
https://technet.microsoft.com/ja-jp/library/security/ms16-154.aspx
富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20161215f.html
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Adobe Flash Player の RegExp クラスには、検索のブックマークに関する処理に不備があるため、バッファオーバーフローおよびバッファアンダーフローの脆弱性が存在します。
影響を受ける製品 アドビシステムズ
Adobe Flash Player 24.0.0.186 未満 (Linux)
Adobe Flash Player 24.0.0.186 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 24.0.0.186 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 24.0.0.186 未満 (Windows/Macintosh)
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Adobe Flash Player の RegExp クラスにおけるバッファオーバーフローの脆弱性(JVNDB-2016-006233)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006233.html
Vulnerability Summary for CVE-2016-7867 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7867

(53)Intel Wireless Bluetooth ドライバにおける引用されないサービスパスの脆弱性(CVE-2016-8102)

ベンダ情報 Intel Product Security Center : INTEL-SA-00059
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00059&languageid=en-fr
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Intel Wireless Bluetooth ドライバには、引用されないサービスパス (unquoted service path) の脆弱性が存在します。
影響を受ける製品 インテル
Intel Wireless Bluetooth ドライバ 16.x
Intel Wireless Bluetooth ドライバ 17.x
Intel Wireless Bluetooth ドライバ 18.1.1607.3129 未満
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Intel Wireless Bluetooth ドライバにおける引用されないサービスパスの脆弱性(JVNDB-2016-006130)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006130.html
Vulnerability Summary for CVE-2016-8102 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8102

(54)Linux Kernel の net/packet/af_packet.c における権限を取得される脆弱性(CVE-2016-8655)

ベンダ情報 GitHub : packet: fix race condition in packet_set_ring
https://github.com/torvalds/linux/commit/84ac7260236a49c79eede91617700174c2c19b0c
Linux Kernel : Linux Kernel Archives
http://www.kernel.org
Linux kernel source tree : packet: fix race condition in packet_set_ring
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c
Red Hat Bugzilla : Bug 1400019
https://bugzilla.redhat.com/show_bug.cgi?id=1400019
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 Linux Kernel の net/packet/af_packet.c には、packet_set_ring および packet_setsockopt 関数に関する処理に不備があるため、競合状態により、権限を取得される、またはサービス運用妨害 (解放済みメモリの使用 (Use-after-free)) 状態にされる脆弱性が存在します。
影響を受ける製品 kernel.org
Linux Kernel 4.8.12 まで
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Linux Kernel の net/packet/af_packet.c における権限を取得される脆弱性(JVNDB-2016-006125)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006125.html
Vulnerability Summary for CVE-2016-8655 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8655

(55)SunGard eTRAKiT に SQL インジェクションの脆弱性(CVE-2016-6566)

ベンダ情報 SunGard Public Sector LLC. : TRAKiT Land Management Software
https://www.sungardps.com/solutions/trakit/
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 SunGard Public Sector LLC. が提供する eTRAKiT には、遠隔の第三者がバックエンドのデータベース上で SQL コマンドのサブセットを実行可能な脆弱性が存在します。 SQL インジェクション (CWE-89) - CVE-2016-6566 報告者によると、POST リクエストのパラメータ ucLogin_txtLoginId_ClientStat に含まれる JSON ペイロード内の valueAsString は適切に検証されていません。そのため、遠隔の第三者が POST リクエストを改ざんして SQL クエリを挿入し、バックエンドのサーバ上で実行することが可能です。 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') https://cwe.mitre.org/data/definitions/89.html
影響を受ける製品 SunGard Public Sector LLC.
eTRAKiT 3.2.1.17
対策 2016年12月7日現在、対策方法は不明です。
参考情報 SunGard eTRAKiT に SQL インジェクションの脆弱性(JVNDB-2016-006124)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006124.html
Vulnerability Summary for CVE-2016-6566 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6566

(56)BSD libc にバッファオーバーフローの脆弱性(CVE-2016-6559)

ベンダ情報 FreeBSD Security Advisory : FreeBSD-SA-16:37.libc
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:37.libc.asc
GitHub : Fix possible buffer overflow(s) in link_ntoa(3).
https://github.com/freebsd/freebsd/commit/e7aed7dacb18c4f4b4568ec011a236861495a1c4
NetBSD : CVS log for src/lib/libc/net/linkaddr.c
http://cvsweb.netbsd.org/bsdweb.cgi/src/lib/libc/net/linkaddr.c
OpenBSD : CVS log for src/lib/libc/net/linkaddr.c
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libc/net/linkaddr.c
CVSS による深刻度 9.3 (危険) [ NVD値 ]
概要 BSD libc ライブラリには、バッファオーバーフローの脆弱性が存在します。 バッファオーバーフロー(CWE-120) - CVE-2016-6559 link_ntoa() 関数には、obuf 変数に関する不適切な処理に起因するバッファオーバーフローの脆弱性が存在します。 CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') https://cwe.mitre.org/data/definitions/120.html FreeBSD 開発者の分析によると、攻撃可能な状態で link_ntoa() 関数が実装されているアプリケーションは存在しないだろうとの見解です ("it is very unlikely that applications exist that utilize link_ntoa() in an exploitable manner")。また、CERT/CC は、2016年12月6日時点で本脆弱性の実証コードは確認していません。
影響を受ける製品 (複数のベンダ)
(複数の製品) HASH(0x94298b0)
対策 [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 なお、FreeBSD では、次のパッチレベルにおいて本脆弱性に対する修正が適用されています。   * 9.3-RELEASE-p51   * 10.1-RELEASE-p43   * 10.2-RELEASE-p26   * 10.3-RELEASE-p13   * 11.0-RELEASE-p4
参考情報 BSD libc にバッファオーバーフローの脆弱性(JVNDB-2016-006123)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006123.html
Vulnerability Summary for CVE-2016-6559 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6559

(57)Windows 上で稼動する Zikula の jcss.php ファイルにおけるディレクトリトラバーサルの脆弱性(CVE-2016-9835)

ベンダ情報 GitHub : CHANGELOG - ZIKULA 1.3.11
https://github.com/zikula/core/blob/1.3/CHANGELOG-1.3.md
GitHub : "jcss.php" file read vulnerability (windows environment) #3237
https://github.com/zikula/core/issues/3237
GitHub : CHANGELOG - ZIKULA 1.4.x
https://github.com/zikula/core/blob/1.4/CHANGELOG-1.4.md
CVSS による深刻度 7.5 (危険) [ NVD値 ]
概要 Windows 上で稼動する Zikula の jcss.php ファイルには、ディレクトリトラバーサルの脆弱性が存在します。
影響を受ける製品 Zikula Foundation
Zikula Application Framework 1.3.11 未満の 1.3.x
Zikula Application Framework 1.4.4 未満の 1.4.x
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Windows 上で稼動する Zikula の jcss.php ファイルにおけるディレクトリトラバーサルの脆弱性(JVNDB-2016-006121)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006121.html
Vulnerability Summary for CVE-2016-9835 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9835

(58)Android の GPS コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-5341)

ベンダ情報 Android Open Source Project : Android Security Bulletin-December 2016
http://source.android.com/security/bulletin/2016-12-01.html
CVSS による深刻度 7.1 (危険) [ NVD値 ]
概要 Android の GPS コンポーネントには、サービス運用妨害 (GPS シグナル取得の遅延) 状態にされる脆弱性が存在します。 本脆弱性は、internal bug 31470303 および external bug 211602 (および AndroidID-7225554) として公開されています。
影響を受ける製品 Google
Android 2016-12-05 より前
対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報 Android の GPS コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-006118)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006118.html
Vulnerability Summary for CVE-2016-5341 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5341

(59)Alcatel-Lucent OmniVista 8770 における任意のコマンドを実行される脆弱性(CVE-2016-9796)

ベンダ情報 Alcatel-Lucent Enterprise : OmniVista 8770 Network Management System
http://enterprise.alcatel-lucent.com/?product=Omnivista8770NetworkManagementsystem&page=overview
CVSS による深刻度 10 (危険) [ NVD値 ]
概要 Alcatel-Lucent OmniVista 8770 は、複数の異なる ORB インターフェースを露出し、認証を回避されるため、任意のコマンドを実行される脆弱性が存在します。
影響を受ける製品 Alcatel-Lucent
OmniVista 8770 Network Management System 2.0 から 3.0
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 Alcatel-Lucent OmniVista 8770 における任意のコマンドを実行される脆弱性(JVNDB-2016-006117)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006117.html
Vulnerability Summary for CVE-2016-9796 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9796

(60)BMC Patrol における root 権限へ昇格される脆弱性(CVE-2016-9638)

ベンダ情報 BMC Software : PATROL and ProactiveNet Performance Management (BPPM)
http://www.bmcsoftware.jp/it-solutions/brands/patrol-proactivenet.html
CVSS による深刻度 7.2 (危険) [ NVD値 ]
概要 BMC Patrol には、setuid ビットで設定されているバイナリ "listguests64" を実行する際、root 権限へ昇格される脆弱性が存在します。
影響を受ける製品 BMC Software
PATROL 9.13.10.02 未満
対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報 BMC Patrol における root 権限へ昇格される脆弱性(JVNDB-2016-006100)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006100.html
Vulnerability Summary for CVE-2016-9638 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9638

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度(JVN iPedia)
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3
CVSS でぜい弱性を評価してみよう(ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database(NVD)
http://nvd.nist.gov/home.cfm

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。 また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。 業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。 まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、 最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html

※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。





日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。