ページの本文へ

Hitachi

チェックしておきたい脆弱性情報 <2016.09.19>

更新日:<2016.09.19>

米アップル製品

watchOS 3 リリース (2016/09/13)

watchOS 3 では、GeoServices コンポーネントに存在する情報漏洩を許してしまう脆弱性 (CVE-2016-4719) を解決しています。脆弱性を悪用された場合、重要な位置情報を読み取られてしまう可能性があります。

Xcode 8 リリース (2016/09/13)

Xcode 8 では、otool コンポーネントに存在するサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2016-4704、CVE-2016-4705) を解決しています。この問題は、メモリ破損に起因している問題です。

iOS 10.0.1 リリース (2016/09/13)

iOS 10.0.1 では、カーネルメモリからの情報漏洩を許してしまう脆弱性 (CVE-2016-4655) を解決しています。

iOS 10 リリース (2016/09/13)

iOS 10 では、アセット、GeoServices、キーボード、メール、メッセージなどのコンポーネントに存在する情報漏洩を許してしまう問題、計 7 件の脆弱性を解決しています。

米アドビ システムズ製品

Adobe Flash Player 23.0.0.162 リリース (2016/09/14)

Adobe Flash Player 23.0.0.162 では、計 26 件の脆弱性を解決しています。脆弱性は、整数オーバーフロー、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題、セキュリティ機構の迂回により情報漏洩を許してしまう問題です。任意のコード実行を許してしまう問題を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。また、ランタイム分析セキュア通信に関する更新版である Adobe AIR SDK & Compiler の Windows 版 Adobe AIR 23.0.0.257 がリリースされました。

マイクロソフト 2016年 9 月の月例セキュリティアップデート (2016/09/13)

2016年 9 月の月例セキュリティアップデートでは、13 件のセキュリティ更新プログラムが公開されました。これらにより、46 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス不能攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回です。

米シスコ製品

WebEx Meetings サーバ (2016/09/16)

WebEx Meetings サーバには、入力データ処理が適切でないために、セキュリティ機構の迂回に起因して、任意のコマンド実行を許してしまう脆弱性 (CVE-2016-1482) が存在します。

PHP 7.0.11、5.6.26 リリース (2016/09/15)

PHP 7.0.11 では、国際化、Mysqlnd、Phar、SPL、Wddx コンポーネントに存在するヒープオーバーフロー、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因する問題 (CVE-2016-7412 〜 CVE-2016-7414、CVE-2016-7416 〜 CVE-2016-7418) など、計 47 件の不具合を修正しています。

PHP 5.6.26 では、国際化、Mysqlnd、Phar、SPL、Standard、Wddx コンポーネントに存在するヒープオーバーフロー、メモリの解放後使用、メモリ破損、領域外のメモリ参照に起因する問題 (CVE-2016-7411 〜 CVE-2016-7414、CVE-2016-7416 〜 CVE-2016-7418) など、計 34 件の不具合を修正しています。

Red Hat Enterprise Linux Server (v.6)(2016/09/12)

Red Hat Enterprise Linux Server に搭載されているアーカイブ用ライブラリ libarchive のセキュリティアップデート (RHSA-2016:1850) がリリースされました。このアップデートでは、サービス不能攻撃を許してしまう問題など、計 7 件の脆弱性を解決しています。

制御システム製品

Schneider Electric の ION Power Meter 製品 (2016/09/12)

エネルギー管理アプリケーションで使用されている仏 Schneider Electric (schneider-electric.com) の ION Power Meter 製品には、クロスサイトリクエストフォージェリ問題が存在します。

FENIKS PRO の 電力量計 Elnet (2016/09/12)

FENIKS PRO(feniks-pro.com) の電力量計 Elnet LT には、Web アクセス制御が適切でないために、任意のコード実行を許してしまう脆弱性が存在します。

Trane の Tracer SC (2016/09/15)

商業施設分野などで利用されているビルディング設備監視製品である、米 Trane (trane.com) の Tracer SC には、情報漏洩を許してしまう脆弱性 (CVE-2016-0870) が存在します。この問題は、Web アプリケーションを介して、特定フォルダに格納されているファイルにアクセスできてしまうことに起因します。

ABB の DataManagerPro (2016/09/15)

エネルギー分野などで利用されているスイス ABB (abb.com) のデータ管理製品である DataManagerPro には、DLL ファイルを読み込む際に、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃) が発生し得る脆弱性 (CVE-2016-4526) が存在します。

横河電機 STARDOM コントローラ (2016/09/15)

重要製造業、エネルギー、農業・食料分野などで利用されている横河電機 (yokogawa.co.jp) の中小規模工場向け PLC 計装システム STARDOM FCN/FCJ コントローラには、アプリケーション停止などのコマンド実行を許してしまう脆弱性 (CVE-2016-4860) が存在します。この問題は、STARDOM のエンジニアリングツールである、ロジックデザイナから認証操作なしでリモートからアクセスできてしまうことに起因します。


担当:寺田、大西/HIRT