2011年における気になった脆弱性をまとめてみた

早いもので2011年ももうすぐ終わります。今年もちまちま脆弱性情報や事件などをはてぶに記録していました(kaito834の2011年タグ)。2011年の振り返りをかねて、僕が把握している範囲で個人的に気になった脆弱性をまとめてみます。
なお、必要があれば適宜更新する予定です。記事末尾の更新履歴をご参照ください。

はじめに

対象とする脆弱性

この日記で取り上げる脆弱性は、以下の 3 つの項目すべてを満たしたものとします。個人のブログで、2011 年に発見された脆弱性を網羅的にまとめるのは荷が重いので、この程度としました。

  • CVE番号が割り当てられている。
  • 2011年に修正、または発見、報告された。
  • 以下のどちらかに該当する。
    • 「過去僕がはてぶにブックマークした」
    • 「ブクマしていないけど、(主観から)これは入れておきたいと思った」
この日記を読むうえでの注意点
  • この日記では、2011年に発見された脆弱性を網羅していません。
  • この日記で取り上げているソフトウェアには偏りがあります。著名なサーバソフトウェアやブラウザ経由での攻撃に悪用されやすいソフトウェアを中心に取り上げています。
  • この日記で取り上げた脆弱性の詳細については関連情報を参照してください。

以上をふまえて、2011年における脆弱性の振り返りの参考にしていただければと思います。

2011年における気になった脆弱性一覧

CVE番号 対象ソフトウェア ゼロデイ 脆弱性の悪用
2月 CVE-2010-4476 Java Runtime Environment(JRE) - -
2月 CVE-2010-3970 Windows -
2月 CVE-2010-3971 Internet Explorer
3月 CVE-2011-0609 Adobe Flash Player/Adobe Reader
4月 CVE-2010-3190 Visual Studio(MFC) - -
4月 CVE-2011-0611 Adobe Flash Player/Adobe Reader
4月 CVE-2011-1717 AndroidSkype - -
4月 CVE-2011-1823 Android
5月* CVE-2011-2344 Android - -
6月 CVE-2011-2107 Adobe Flash Player
6月 CVE-2011-1331 一太郎
6月 CVE-2011-2100 Adobe Reader -
6月 CVE-2011-2110 Adobe Flash Player
7月 CVE-2011-2464 BIND - -
7月 CVE-2011-0226 iOS - -
7月 CVE-2011-0227 iOS - -
7月* CVE-2010-4832 Android - -
8月* CVE-2011-3192 Apache HTTP Server -
9月* CVE-2011-3389 SSL/TLS Protcol - -
9月 CVE-2011-2444 Adobe Flash Player
10月 CVE-2011-3975 HTC社 Android端末 - -
10月 CVE-2011-3426 Safari on iOS - -
10月 CVE-2011-3224 Mac OS X - -
10月 CVE-2011-3440 iOS - -
10月 CVE-2011-3544 Java Runtime Environment(JRE) -
11月* CVE-2011-3402 Windows
11月 CVE-2011-2013 Windows - -
11月 CVE-2011-3442 iOS - -
11月 CVE-2008-3434 iTunes -
11月* CVE-2011-4313 BIND - -
12月 CVE-2011-0291 BlackBerry PlayBook tablet - -
12月* CVE-2011-4161 HP製プリンタ - -
12月 CVE-2011-2462 Adobe Reader
12月 CVE-2011-3414 ASP.NET - -
12月 CVE-2011-4862 FreeBSD telnetd

[月]列には、基本的にその脆弱性が修正された月を記入しています。脆弱性が修正された月ではなく、その脆弱性が発見、報告された月を記入する場合は、「●月*」としています。
[CVE番号]列には、その脆弱性のCVE番号を記入しています。
[対象ソフトウェア]列には、その脆弱性の影響を受けるソフトウェアを記入しています。
[ゼロデイ]列には、ゼロデイ攻撃の有無を記述しています。ソフトウェア開発元の情報などで攻撃から脆弱性が発覚した場合には「○」、そうではない場合には「-」を記入しています。
[脆弱性の悪用]列には、第三者によるマルウェア、攻撃などでの脆弱性の悪用有無を記入しています。脆弱性の悪用が確認されている場合には「○」、そうではない場合には「-」を記入しています。[ゼロデイ]列が「○」の場合、自動的にこの列は「○」となっています。

脆弱性の関連情報

CVE-2011-0291:BlackBerry PlayBook tablet

更新履歴

2011年12月12日 23:25頃

CVE-2011-2464 とその関連情報を追記しました(更新前のウェブ魚拓)。@OrangeMorishita さんから情報をいただきました。

2011年12月31日 02:15頃

以下を追記しました(更新前のウェブ魚拓)。

  • CVE-2011-3402 の関連情報に MS11-087 のリンク
  • CVE-2011-2462 の関連情報に APSB11-30 のリンク
  • CVE-2011-4862 とその関連情報
  • CVE-2011-3414 とその関連情報