チェックしておきたい脆弱性情報 ＜2018.01.15＞

Adobe Flash Player 28.0.0.137 では、領域外のメモリ参照 (out-of-bounds read：CWE-125)に起因して情報漏えいを許してしまう問題 (CVE-2018-4871) を解決しています。

• APSB18-01: Adobe Flash Player に関するアップデート公開
• ADV180001 | 1 月の Flash のセキュリティ更新プログラム

macOS High Sierra 10.13.2追加アップデートでは、Safari や WebKit のセキュリティを強化することで、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

• macOS High Sierra 10.13.2 追加アップデートのセキュリティコンテンツについて

Safari 11.0.2 では、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

• Safari 11.0.2 のセキュリティコンテンツについて

iOS 11.2.2 では、Safari や WebKit のセキュリティを強化することで、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題Spectreを解決しています。

• iOS 11.2.2 のセキュリティコンテンツについて

2018年 1月の月例セキュリティアップデートでは 63 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 32 件、サービス不能 2 件、アクセス権限の昇格 8 件、なりすまし 2 件、情報漏洩 14 件、セキュリティ機構の迂回 2 件です。

• 2018年 1月のセキュリティ情報

　Meltdown、Spectre は、CPU 処理に起因して情報漏洩を許してしまう脆弱性です。Meltdown は、アウトオブオーダ実行を利用したキャッシュへのデータ格納により (CVE-2017-5754)、権限なしでカーネルメモリと物理メモリへのアクセスを許してしまう問題です。Spectre は、境界チェックの迂回 (CVE-2017-5753)、分岐ターゲットインジェクション (CVE-2017-5715) を利用することで、権限なしでメモリへのアクセスを許してしまう問題です。

• ICS-ALERT-18-011-01: Meltdown and Spectre Vulnerabilities

通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の産業用イーサネットスイッチ FL SWITCH には、適切でないアクセス許可 (CWE-285) に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2017-16743)、Monitor モード使用による診断情報の漏洩を許してしまう脆弱性 (CVE-2017-16741) が存在します。

• ICSA-18-011-03: PHOENIX CONTACT FL SWITCH

重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) のネットワーク管理ソフトウェア MXview には、引用符で囲まれていないプログラムパス (Unquoted Service Path：CWE-428) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-14030) が存在します。

• ICSA-18-011-02: Moxa MXview

重要製造業、エネルギー、上下水道分野で利用されている中国 WECON (we-con.com.cn) の HMI プログラミングソフトウェアである LeviStudio HMI Editor には、スタックオーバーフロー (CWE-121)(CVE-2017-16739)、ヒープオーバーフロー (CWE-122)(CVE-2017-16737) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-16717) が存在します。

• ICSA-18-011-01: WECON Technology Co., Ltd. LeviStudio HMI Editor

輸送分野で利用されている GM 子会社の中国 Shanghai OnStar (onstar.com.cn) の iOS Client には、メモリ上に暗号鍵が平文のまま格納されている問題 (CWE-312)(CVE-2017-9663)、中間者攻撃による通信へのアクセスや関与を許してしまう問題 (CVE-2017-12697)、セキュリティ機構の無効化とパスワードリセットを許してしまう問題 (CVE-2017-12695) が存在します。iOS Client は、自動車管理用のモバイルアプリケーションです。

• ICSA-17-234-04: General Motors and Shanghai OnStar (SOS) iOS Client

通信、重要製造業、農業・食料、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の MicroLogix 1400 には、スタックオーバーフローに起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-16740) が存在します。MicroLogix 1400 は、ネットワーク通信機能を備えた小型の PLC (Programmable Logic Controller) です。

• ICSA-18-009-01: Rockwell Automation Allen-Bradley MicroLogix 1400 Controllers

3 件のセキュリティノートがリリースされています。SAP Solution Manager での適切でないアクセス許可 (CWE-285)、Startup Service での適切でない認証 (CWE-287)、SAP HANA での情報漏洩を許してしまう脆弱性が報告されています。

• SAP Security Patch Day - January 2018
• SAP Support Portal

• HIRT-PUB
• 活動参考資料
• CSIRTメモ