更新日:<2019.04.01>
Thunderbird 60.6.1 では、1 件のセキュリティアドバイザリに含まれる計 2 件の任意のコード実行を許してしまう脆弱性を解決しています。任意のコード実行は、バッファオーバーフロー、型の取り違え (type confusion: CWE-843) の問題に起因しています。
Thunderbird 60.6.0 では、任意のコード実行、サービス不能攻撃、情報漏洩、セキュリティ機能の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 10 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。
セキュリティアップデート 2019-002 High Sierra、セキュリティアップデート 2019-002 Sierra が更新されました。
watchOS 5.2 では、CFString、configd、Contacts、CoreCrypto、ファイル、Foundation、GeoServices、iAP、IOHIDFamily、カーネル、メッセージ、パスコード、電源管理、プライバシ、Siri、TrueTypeScaler、WebKit コンポーネントに存在する計 28 件の脆弱性 (CVE-2019-6207、CVE-2019-6237、CVE-2019-7286、CVE-2019-7292 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、サービス不能攻撃、情報漏洩、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題です。
Windows 版 iCloud 7.11 では、CoreCrypto、iTunes、Safari、WebKit、Windows インストーラコンポーネントに存在する計 20 件の脆弱性 (CVE-2019-6201、CVE-2019-6232、CVE-2019-6236、CVE-2019-7285 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。
Windows 版 iTunes 12.9.4 では、CoreCrypto、Safari、WebKit コンポーネントに存在する計 19 件の脆弱性 (CVE-2019-6201、CVE-2019-7285、CVE-2019-7292 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題などです。
Safari 12.1 では、Safari、Safari Reader、WebKit コンポーネントに存在する計 20 件の脆弱性 (CVE-2019-6201、CVE-2019-6204、CVE-2019-7285 他) を解決しています。対象となった脆弱性は、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題です。
macOS Mojave 10.14.4、セキュリティアップデート 2019-002 High Sierra、セキュリティアップデート 2019-002 Sierra では、Accounts、AppleGraphicsControl、Bom、Books、CFString、configd、Contacts、CoreCrypto、DiskArbitration、FaceTime、Feedback Assistant、ファイル、グラフィックドライバ、iAP、IOGraphics、IOHIDFamily、IOKit 関連、カーネル、メール、メッセージ、Notes、PackageKit、Perl、電源管理、QuartzCore、セキュリティ、Siri、Time Machine、TrueTypeScaler、XPC コンポーネントに存在する計 37 件の脆弱性 (CVE-2019-6207、CVE-2019-6237、CVE-2019-6239 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、サービス不能攻撃、情報漏洩、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題です。
tvOS 12.2 では、CFString、configd、CoreCrypto、ファイル、Foundation、GeoServices、iAP、IOHIDFamily、カーネル、電源管理、Safari、Siri、TrueTypeScaler、WebKit、XPC コンポーネントに存在する計 35 件の脆弱性 (CVE-2019-6201、CVE-2019-6207、CVE-2019-6237 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、サービス不能攻撃、情報漏洩、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題です。
Xcode 10.2 では、カーネルコンポーネントに存在するメモリ破損 (memory corruption:CWE-119) に起因して任意のコードの実行を許してしまう脆弱性 (CVE-2018-4461) を解決しています。
iOS 12.2 では、Books、Calendar、CFString、configd、Contacts、CoreCrypto、Exchange ActiveSync、FaceTime、Feedback Assistant、ファイル、GeoServices、iAP、IOHIDFamily、IOKit 関連、カーネル、メール、メッセージ、Power Management、プライバシ、Quick Look、ReplayKit、Safari 関連、Screen Time、Siri、TrueTypeScaler、WebKit、Wi-Fi、XPC コンポーネントに存在する計 50 件の脆弱性 (CVE-2019-6201、CVE-2019-6204、CVE-2019-6207 他) を解決しています。対象となった脆弱性は、なりすまし、アクセス権限昇格、サービス不能攻撃、情報漏洩、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題です。
Chrome 73.0.3683.86 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
重要製造業分野で利用されている米 Rockwell Automation (rockwellautomation.com) の PowerFlex 525 AC には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-19282) が存在します。不正な CIP(Common Industrial Protocol) パケットを受信した際に、影響を受ける可能性があります。
商業施設分野で利用されているオーストラリア ENTTEC (enttec.com) の照明制御機器には、重要な機能に対する認証の欠如 (CWE-306) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6542) が存在します。影響を受ける製品は、DMX ハブ/スプリッター機能を搭載した Datagate MK2、イーサネット DMX512 コンバータ Storm 24、Ethernet-to-Pixel コンバータ Pixelator です。
通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の無線 LAN アクセスポイント RAD-80211-XD の WebHMI ユーティリティには、コマンドインジェクション問題 (CWE-77) に起因して管理者権限でのシステムレベルのコマンド実行を許してしまう脆弱性 (CVE-2019-9743) が存在します。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE X には、ミラーポートを介してミラーリングされたネットワークへの攻撃を許してしまう脆弱性 (CVE-2019-6569) が存在します。この問題は、ミラーリングされたネットワークへのデータ転送に制限がないことに起因します。
Cisco IOS と IOS XE ソフトウェアのセキュリティアップデートがリリースされました。このセキュリティアップデートでは、任意のコード実行、サービス不能攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回を許してしまう 17 件のセキュリティアドバイザリに含まれる計 19 件の脆弱性 (CVE-2019-1737 〜 CVE-2019-1743、CVE-2019-1745 〜 CVE-2019-1756) を解決しています。
DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.27 は、不具合の修正と改善を目的としたリリースで、応答として RR を一つだけ持つ ANY の拒否、TSIG 鍵のオンザフライ変更などの機能強化を施しています。セキュリティアップデートは含まれていません。
VMware ESXi、Workstation、Fusion の USB 1.1 ユニバーサル Host Controller Interface には、領域外のメモリ参照 (out-of-bounds read: CWE-125)、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、確認してから実行するまでの時間差の問題 (Time of Check to Time of Use: CWE-367) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-5518、CVE-2019-5519)、e1000、e1000e 仮想ネットワークアダプタには、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-5524、CVE-2019-5515)、Fusion の認証されていない API には、ゲスト OS 上で JavaScript やコマンドの実行を許してしまう脆弱性 (CVE-2019-5514) が存在します。
VMware vCloud Director には、リモートセッションハイジャックにより、Tenant や Provider Portal への不正アクセスを許してしまう脆弱性 (CVE-2019-5523) が存在します。
Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:0671、RHSA-2019:0672)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox ESR 60.6.1 で解決した任意のコード実行を許してしまう脆弱性 (CVE-2019-9810、CVE-2019-9813) に対応しています。
担当:寺田、大西/HIRT
