ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.06.04>

更新日:<2018.06.04>

(C08) アップル製品

Windows 版 iCloud 7.5 リリース (2018/05/29)

Windows 版 iCloud 7.5 では、セキュリティ、WebKit コンポーネントに存在する計 16 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

Safari 11.1.1 リリース (2018/05/29)

Safari 11.1.1 では、Safari、WebKit コンポーネントに存在する計 13 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、サービス不能攻撃、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

macOS High Sierra 10.13.5 リリース (2018/05/29)

macOS High Sierra 10.13.5、セキュリティアップデート 2018-003 Sierra、セキュリティアップデート 2018-003 El Capitan では、Accessibility Framework、AMD、apache_mod_php、ATS、Bluetooth、Firmware、FontParser、Grand Central Dispatch、グラフィックドライバ、Hypervisor、iBooks、Intel Graphics Driver、IOFireWireAVC、IOGraphics、IOHIDFamily、カーネル、libxpc、メール、メッセージ、NVIDIA Graphics Drivers、セキュリティ、Speech、UIKit、Windows Server コンポーネントに存在する計 32 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、サービス不能攻撃、アクセス権限昇格、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

iOS 11.4 リリース (2018/05/29)

iOS 11.4 では、Bluetooth、Contacts、FontParser、iBooks、カーネル、libxpc、Magnifier、メール、Messages、Safari、セキュリティ、Siri、Siri Contacts、UIKit、WebKit コンポーネントに存在する計 35 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、サービス不能攻撃、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

watchOS 4.3.1 リリース (2018/05/29)

watchOS 4.3.1 では、Crash Reporter、FontParser、カーネル、libxpc、Messages、セキュリティ、UIKit、WebKit コンポーネントに存在する計 20 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、サービス不能攻撃、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iTunes 12.7.5 リリース (2018/05/29)

Windows 版 iTunes 12.7.5 では、セキュリティ、WebKit コンポーネントに存在する計 16 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

tvOS 11.4 リリース (2018/05/29)

tvOS 11.4 では、Crash Reporter、FontParser、カーネル、libxpc、Messages、セキュリティ、UIKit、WebKit コンポーネントに存在する計 24 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、情報漏洩、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。

(C10) Google Chrome

Google Chrome 67.0.3396.62 リリース (2018/05/29)

バージョン 67 がリリースされました。Chrome 67.0.3396.62 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843)、ヒープオーバーフロー (CWE-122)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、デバッガの制限機構の迂回に関する計 34 件の脆弱性 (CVE-2018-6123 〜 CVE-2018-6145、CVE-2018-6147 他) を解決しています。

(I02) 制御システム製品

横河電機 STARDOM コントローラ (2018/05/31)

重要製造業、エネルギー、農業・食料分野で利用されている横河電機 (yokogawa.co.jp) の中小規模工場向け PLC 計装システム STARDOM FCN/FCJ コントローラには、資格情報がハードコーディングされている問題 (CWE-798) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-10592) が存在します。

GE の MDS PulseNET (2018/05/31)

エネルギー、上下水道分野などで利用されている米 GE (ge.com) の通信ソフトウェア / ネットワーク管理および設定用 MDS PulseNET には、適切でない認証 (CWE-287)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611)、ディレクトリトラバーサル問題 (CWE-22) に起因してアクセス権限の昇格、情報漏洩を許してしまう脆弱性 (CVE-2018-10611、CVE-2018-10613、CVE-2018-10615) が存在します。

Delta Electronics の Delta Industrial Automation DOPSoft (2018/05/31)

重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) の編集ソフトウェア Delta Industrial Automation DOPSoft には、領域外のメモリ参照 (out-of-bounds read: CWE-125)、ヒープオーバーフロー (CWE-122)、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10617、CVE-2018-10621、CVE-2018-10623) が存在します。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0014 (2018/05/29)

VMware Horizon Client には、適切でない SUID(Set User ID) 使用に起因して、Linux 上で管理者権限への昇格を許してしまう脆弱性 (CVE-2018-6964) が存在します。


担当:寺田、大西/HIRT