更新日:<2018.11.26>
Thunderbird 60.3.1 では、UTF-8 での認証パスワードエンコード、空の IMAP パスワード入力時の異常終了あるいはハングアップなどの不具合を修正しています。セキュリティアップデートは含まれていません。
Firefox 63.0.3 では、WebGL を使用したゲーム、映像データダウンロードに伴う HTTP 応答のスロットリング関連での不具合を修正しています。セキュリティアップデートは含まれていません。
Adobe Flash Player 31.0.0.153 は、型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-15981) を解決しています。
Chrome 70.0.3538.110 では、メモリの解放後使用 (use-after-free: CWE-416) に起因する脆弱性 (CVE-2018-17479) を解決しています。
商業施設分野で利用されている仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon M221 PLC には、十分ではないデータ真正性の確認 (CWE-345) に起因して、リモートから装置設定の改ざんを許してしまう脆弱性 (CVE-2018-7798) が存在します。
重要製造業分野で利用されているカナダ Teledyne DALSA(teledyne.com) の自動検査アプリケーション向けマシンビジョン製品 Sherlock には、スタックオーバーフロー (CWE-121) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-17930) が存在します。
OpenSSL 1.1.1a、1.1.0j、1.0.2q では、10 月29日に報告された ECDSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-0735)、DSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-0734)、11月12日に報告された ECC スカラー乗算処理にサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-5407) を解決しています。
VMware Workstation、Fusion には、整数オーバーフロー (CWE-190) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-6983) が存在します。
vSphere Data Protection (VDP) には、任意のコード実行、オープンリダイレクト問題 (CWE-601)、コマンドインジェクション問題 (CWE-77)、情報漏洩を許してしまう脆弱性 (CVE-2018-11066、CVE-2018-11067、CVE-2018-11076、CVE-2018-11077) が存在します。
Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2018:3644) のセキュリティアップデート (深刻度:緊急) がリリースされました。このアップデートでは、Adobe Flash Player 31.0.0.153 で解決した脆弱性に対応しています。
担当:寺田、大西/HIRT
