更新日:<2017.12.11>
Firefox 57.0.2、ESR 52.5.2 では、ANGLE グラフィックライブラリでのバッファオーバーフローに起因して、サービス不能攻撃を許してしまう脆弱性を解決しています。
Windows 用 iTunes 12.7.2 では、APNs Server、CFNetwork Session、WebKit コンポーネントに存在する計 12 件の脆弱性を解決しています。対象となった脆弱性は、表示のなりすましやメモリ破損に起因して任意のコード実行を許してしまう問題です。
Safari 11.0.2 では、WebKit 関連などのコンポーネントに存在する計 11 件の脆弱性を解決しています。対象となった脆弱性は、表示のなりすましやメモリ破損に起因して任意のコード実行などを許してしまう問題です。
macOS High Sierra 10.13.2、セキュリティアップデート 2017-002 Sierra、セキュリティアップデート 2017-005 El Capitan では、apache、curl、ディレクトリユーティリティ、カーネル、メール、OpenSSL、Screen Sharing Server などのコンポーネントに存在する計 22 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩を許してしまう問題、メモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題です。
watchOS 4.2 では、IOSurface、カーネル、Wi-Fi コンポーネントに存在する計 10 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩を許してしまう問題、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題です。また、WPA2 プロトコルの KRACK (Key Reinstallation Attacks) 問題として報告された脆弱性 (CVE-2017-13080) に対応しています。
Xcode 9.2 では、バッファオーバーフローに起因して任意のコード実行を許してしまう脆弱性(CVE-2017-7167)を解決しています。
tvOS 11.2 では、IOSurface、カーネル、Wi-Fi コンポーネントに存在する計 10 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩を許してしまう問題、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題です。また、WPA2 プロトコルの KRACK (Key Reinstallation Attacks) 問題として報告された脆弱性 (CVE-2017-13080) に対応しています。
バージョン 63 がリリースされました。Chrome 63.0.3239.84 では、領域外メモリへの書き出し (out-of-bounds write:CWE-787)、ヒープオーバーフロー (CWE-122)、メモリの解放後使用 (use-after-free:CWE-416)、型の取り違え (type confusion:CWE-843) など、計 37 件の脆弱性 (CVE-2017-15407 〜 CVE-2017-15413、CVE-2017-15415 〜 CVE-2017-15420、CVE-2017-15422 〜 CVE-2017-15427、CVE-2017-15430 他) を解決しています。
商業施設、重要製造業、エネルギー、輸送分野で利用されている独 WAGO(wago.com) の PLC PFC200 には、適切でない認証に起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性が存在します。
通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) のインタフェースコンバータ FL COMSERVER、FL COM SERVER、産業用イーサネットモデム PSI-MODEM/ETH には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-16723) が存在します。
化学、重要製造業、農業・食料、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の FactoryTalk Alarms and Events には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-14022) が存在します。不正な一連のパケットを 403/TCP (history archiver service) で受信した場合に脆弱性の影響を受ける可能性があります。
中国 Xiongmai Technology(xiongmaitech.com) のビデオ監視システムである IP カメラ、DVR には、スタックオーバーフローに起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-16725) が存在します。再起動後は、Telnet サービスにアクセスできるようになってしまうため、より脆弱な状態となってしまう可能性があります。
商業施設、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業製品 (SIMATIC S7、SIMATIC WinAC RTX、SIMATIC ET、SIMOTION、SINUMERIK など) には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12741) が存在します。不正なパケットをポート番号 161/UDP で受信した場合に脆弱性の影響を受ける可能性があります。
サービスサポートのプロセスに沿って案件管理を支援する JP1/Service Support、JP1/Integrated Management - Service Support には、クロスサイトスクリプティングの脆弱性 (CWE-79) が存在します。
OpenSSL 1.0.2n では、ハンドシェイク中にエラーが発生した場合に遷移するエラー状態機構が正しく動作しない脆弱性 (CVE-2017-3737)、x86_64 環境の AVX2 モンゴメリ乗算に存在する不具合に起因して秘密鍵の推測を許してしまう脆弱性 (CVE-2017-3738) を解決しています。また、OpenSSL 1.1.0 系に存在する脆弱性 (CVE-2017-3738) については、次期バージョンとなる OpenSSL 1.1.0h で対応するとしています。
Red Hat 製品でサポートされている Chromeブラウザのセキュリティアップデート (RHSA-2017:3401)がリリースされました。このアップデートでは、Chrome 63.0.3239.84 で解決した脆弱性に対応しています。
Drupal 8.4.3 は、不具合の修正や改善を目的としたリリースです。8.4.3 では、PHP5.5 と PostgreSQL でのセグメンテーションフォルト、PHP 7.2 で発生した移行モジュールの動作不具合などを修正しています。
担当:寺田、大西/HIRT
