更新日:<2017.09.11>
Thunderbird 52.3 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 16 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。
バージョン 61 がリリースされました。Chrome 61.0.3163.79 では、メモリの解放後使用 (use-after-free:CWE-416)、ヒープオーバーフロー (CWE-122)、型の取り違え (type confusion:CWE-843)、セキュリティ機構の迂回を許してしまう問題など、計 22 件の脆弱性 (CVE-2017-5111 〜 CVE-2017-5120 他) を解決しています。
公共衛生・ヘルスケア分野で利用されている英 Smiths Group の Smiths-Medical (smiths-medical.com) の Medfusion 4000 無線通信のスポイトポンプには、不正アクセスを許してしまう複数の脆弱性 (CVE-2017-12718、CVE-2017-12720 〜 CVE-2017-12726) が存在します。報告されている脆弱性は、バッファオーバーフロー、領域外のメモリ参照 (out-of-bounds read:CWE-125)、適切でないアクセス制御 (CWE-284)、資格情報がハードコーディングされている問題 (CWE-798)、パスワードがハードコーディングされている問題 (CWE-259)、パスワードが設定ファイルに格納されている問題 (CWE-260) です。
公共衛生・ヘルスケア分野で利用されている韓国 i-SENS (i-sens.com) の SmartLog Diabetes Management には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)(CVE-2017-13993) に起因して、任意のコード実行を許してしまう可能性があります。SmartLog Diabetes Management は、糖尿病管理のための製品です。
通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の産業用ネットワークのセキュリティ製品である mGuard ファームウェアには、NULL ポインタ参照 (NULL pointer dereference:CWE-476) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2013-6466) が存在します。
重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA Web サーバには、適切でない権限管理 (WE-269) に起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2017-12728) が存在します。
9月 7日に公開された Apache Struts2 の脆弱性 (CVE-2017-9804、CVE-2017-9793、CVE-2017-9805、CVE-2017-12611) の影響を報告しています。
IoT Field Network Director の TCP 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6780) が存在します。
Struts 2.5.13、2.3.34 では、URLValidator にサービス不能攻撃を許してしまう脆弱性 (CVE-2017-9804)、REST ブラグインにサービス不能攻撃を許してしまう脆弱性 (CVE-2017-9793)、REST ブラグインに任意のコード実行を許してしまう脆弱性 (CVE-2017-9805)、Freemarker タグに任意のコード実行を許してしまう脆弱性 (CVE-2017-12611) を解決しています。
担当:寺田、大西/HIRT
