更新日:<2017.07.31>
Adobe Flash Player 2020年末で EOL (End-Of-Life) に入ることがアナウンスされました。これに伴い、Adobe Flash コンテンツの移行の推進を推奨しています。
Java SE 8 Update 144 では、java.util.zip.ZipFile.getEntry 関数の不具合を修正しています。不具合は関数が返すディレクトリの末尾に関するもので、修正後は常に末尾が "/" となります。セキュリティアップデートは報告されていません。
バージョン 60 がリリースされました。Windows/Mac/Linux 版 60.0.3112.78 では、メモリの解放後使用 (use-after-free:CWE-416)、領域外のメモリ参照 (out-of-bounds read:CWE-125)、領域外メモリへの書き出し (out-of-bounds write:CWE-787)、情報漏洩、なりすましを許してしまう問題など、計 40 件の脆弱性 (CVE-2017-5091 〜 CVE-2017-5104、CVE-2017-5106 〜 CVE-2017-5110 他) を解決しています。
7月27日、定例外で Outlook の脆弱性を解決する更新プログラムがリリースされました。報告された脆弱性は、セキュリティ機能の迂回 (CVE-2017-8571)、情報漏洩 (CVE-2017-8572)、メモリ破損に起因して任意のコード実行を許してしまう問題 (CVE-2017-8663) です。また、更新プログラムでは、2017年 6月のセキュリティ更新プログラムの不具合の一部を修正しています。
CAN(Controller Area Network) Bus プロトコルに関する注意喚起が発行されました。注意喚起は、CAN Bus プロトコルを実装した機器には、リソース消費を意図するサービス不能攻撃を許してしまう問題が存在するというものです。
2016年にウクライナ電力網へのサイバー攻撃に利用された CRASHOVERRIDE マルウェアに関する注意喚起が発行されました。CRASHOVERRIDE マルウェアは、別名、Industroyer と呼ばれており、電力システムの監視や制御等に使用されるプロトコル IEC 60870-5-101、IEC 60870-5-104、IEC 61850 処理機能を実装したマルウェアです。ICS-CERT では、セキュリティ侵害の痕跡有無の調査を促すため、yara 形式の情報を公表するとともに、制御システムのアセットオーナーやオペレーターに対して注意を呼びかけています。
商業施設、重要製造業分野などで利用されている米PDQ Manufacturing (pdqinc.com) の 洗車機 LaserWash、Laser Jet、ProTouch には、認証の迂回を許してしまう脆弱性 (CVE-2017-9630)、パスワードなどを平文のまま転送している問題 (CVE-2017-9632) が存在します。
原子炉・核物質・核廃棄物分野などで利用されている米 Mirion Technologies (mirion.com) の製品に脆弱性が報告されています。報告された脆弱性は、ファームウェアに暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)(CVE-2017-9645)、強度を持った暗号化方式で保護していない問題 (CVE-2017-9649) です。影響を受ける製品は、Telemetry 機能が有効になった DMC 3000 Transmitter、iPam Transmitter、MESH Repeater などです。
輸送分野などで利用されている独 Continental AG(continental-corporation.com) の TCU(Telematics Control Module) には、複数の脆弱性が存在します。報告されている脆弱性は、AT コマンド処理での任意のコード実行を許してしまうスタックオーバーフロー (CWE-121) 問題 (CVE-2017-9633)、TMSI(Temporary Mobile Subscriber Identity) での任意のコード実行を許してしまうバッファオーバーフロー (CWE-119) 問題 CVE-2017-9647) です。Infineon の S-Gold 2 を組み込でいる TCU が影響を受け、その TCU を搭載している BMW、Infiniti、日産 Leaf などが影響を受けます。
輸送、重要製造業分野などで利用されているオランダ NXP(nxp.com) のアプリケーションプロセッサである i.MX 製品には、サービス不能攻撃を許してしまうスタックオーバーフロー (CWE-121) 問題 (CVE-2017-7932)、イメージファイルなどの証明書検証が適切でない問題 (CVE-2017-7936) が存在します。
日立ディスクアレイシステム SVP には、マイクロソフト 2017年 5月の月例セキュリティアップデートで解決した Windows SMB のリモートでコードが実行される脆弱性 (CVE-2017-0272)、2017年 6月の月例セキュリティアップデートで解決した LNK 処理に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-8464) などが存在します。
Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 141 で解決した、JAXP、JCE、ライブラリ、RMI、セキュリティ、Serialization などに存在する問題です。
Cisco IOS と IOS XE ソフトウェアの 自律型ネットワーキング Autonomic Networking Infrastructure には、情報漏洩を許してしまう脆弱性 (CVE-2017-6665)、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6663) が存在します。情報漏洩を許してしまう脆弱性は、Autonomic Control Plane の暗号通信が攻撃により機能しなくなることに起因し、サービス不能攻撃は、Autonomic Control Plane のリセットによる装置の再起動に起因しています。
VMware vCenter Server の VMware VIX API では、VMware Site Recovery Manager、Mware Infrastructure Navigator が使用するゲスト OS にアクセスするための機能を提供しています。この VMware VIX API には、認証操作なしで vSphere ユーザがゲスト OS への不正なアクセスを許してしまう脆弱性 (CVE-2017-4919) が存在します。
Joomla! 3.7.4 では、インストール時の所有者チェックが適切でない問題 (CVE-2017-11364)、クロスサイトスクリプティング問題 (CVE-2017-11612) を解決しています。また、これらセキュリティ問題に加えて、50 件以上の不具合を修正しています。
担当:寺田、大西/HIRT
