ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.01.15>

更新日:<2018.01.15>

(C02) アドビ システムズ製品

Adobe Flash Player 28.0.0.137 リリース (2018/01/09)

Adobe Flash Player 28.0.0.137 では、領域外のメモリ参照 (out-of-bounds read:CWE-125)に起因して情報漏えいを許してしまう問題 (CVE-2018-4871) を解決しています。

(C08) アップル製品

macOS High Sierra 10.13.2 追加アップデート (2018/01/08)

macOS High Sierra 10.13.2追加アップデートでは、Safari や WebKit のセキュリティを強化することで、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

Safari 11.0.2 リリース (2018/01/08)

Safari 11.0.2 では、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

iOS 11.2.2 リリース (2018/01/08)

iOS 11.2.2 では、Safari や WebKit のセキュリティを強化することで、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

(C11) マイクロソフト製品

マイクロソフト 2018年 1月の月例セキュリティアップデート (2018/01/09)

2018年 1月の月例セキュリティアップデートでは 63 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 32 件、サービス不能 2 件、アクセス権限の昇格 8 件、なりすまし 2 件、情報漏洩 14 件、セキュリティ機構の迂回 2 件です。

(I02) 制御システム製品

Meltdown、Spectre 脆弱性 (2018/01/11)

 Meltdown、Spectre は、CPU 処理に起因して情報漏洩を許してしまう脆弱性です。Meltdown は、アウトオブオーダ実行を利用したキャッシュへのデータ格納により (CVE-2017-5754)、権限なしでカーネルメモリと物理メモリへのアクセスを許してしまう問題です。Spectre は、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで、権限なしでメモリへのアクセスを許してしまう問題です。

Phoenix Contact Software の FL SWITCH (2018/01/11)

通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の産業用イーサネットスイッチ FL SWITCH には、適切でないアクセス許可 (CWE-285) に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2017-16743)、Monitor モード使用による診断情報の漏洩を許してしまう脆弱性 (CVE-2017-16741) が存在します。

Moxa の MXview (2018/01/11)

重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) のネットワーク管理ソフトウェア MXview には、引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-14030) が存在します。

WECON の LeviStudio HMI Editor (2018/01/11)

重要製造業、エネルギー、上下水道分野で利用されている中国 WECON (we-con.com.cn) の HMI プログラミングソフトウェアである LeviStudio HMI Editor には、スタックオーバーフロー (CWE-121)(CVE-2017-16739)、ヒープオーバーフロー (CWE-122)(CVE-2017-16737) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-16717) が存在します。

Shanghai OnStar の iOS Client (2018/01/09)

輸送分野で利用されている GM 子会社の中国 Shanghai OnStar (onstar.com.cn) の iOS Client には、メモリ上に暗号鍵が平文のまま格納されている問題 (CWE-312)(CVE-2017-9663)、中間者攻撃による通信へのアクセスや関与を許してしまう問題 (CVE-2017-12697)、セキュリティ機構の無効化とパスワードリセットを許してしまう問題 (CVE-2017-12695) が存在します。iOS Client は、自動車管理用のモバイルアプリケーションです。

Rockwell Automation の MicroLogix 1400 (2018/01/09)

通信、重要製造業、農業・食料、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の MicroLogix 1400 には、スタックオーバーフローに起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-16740) が存在します。MicroLogix 1400 は、ネットワーク通信機能を備えた小型の PLC (Programmable Logic Controller) です。

(S23) SAP 製品

SAP Security Patch Day - January 2018 (2018/01/09)

3 件のセキュリティノートがリリースされています。SAP Solution Manager での適切でないアクセス許可 (CWE-285)、Startup Service での適切でない認証 (CWE-287)、SAP HANA での情報漏洩を許してしまう脆弱性が報告されています。


担当:寺田、大西/HIRT