チェックしておきたい脆弱性情報 ＜2019.07.29＞

Windows 版 iCloud 10.6 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題などです。

• Windows 用 iCloud 10.6 のセキュリティコンテンツについて

Windows 版 iCloud 7.13 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題などです。

• Windows 用 iCloud 7.13 のセキュリティコンテンツについて

Windows 版 iTunes 12.9.6 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題などです。

• Windows 版 iTunes 12.9.6 のセキュリティコンテンツについて

iOS 12.4 では、Core Data、FaceTime、Found in Apps、Foundation、Game Center、Heimdal、libxslt、Messages、MobileInstallation、Profiles、Quick Look、Siri、テレフォニィ、UIFoundation、Wallet、WebKit コンポーネントに存在する計 36 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646 〜 CVE-2019-8649、CVE-2019-8657、CVE-2019-8658 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free：CWE-416)、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題です。

• iOS 12.4 のセキュリティコンテンツについて

iOS 10.3.4 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

• iOS 10.3.4 のセキュリティコンテンツについて

iOS 9.3.6 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

• iOS 9.3.6 のセキュリティコンテンツについて

tvOS 12.4 では、Core Data、Foundation、Game Center、Heimdal、libxslt、MobileInstallation、Profiles、Quick Look、Siri、UIFoundation、WebKit コンポーネントに存在する計 31 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646、CVE-2019-8647、CVE-2019-8649 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free：CWE-416)、メモリ破損 (memory corruption：CWE-119)、に起因して任意のコード実行を許してしまう問題です。

• tvOS 12.4 のセキュリティコンテンツについて

Apple TV ソフトウェア 7.3.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

• Apple TV ソフトウェア 7.3.1 のセキュリティコンテンツについて

Safari 12.1.2 では、Safari、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669 〜 CVE-2019-8673、CVE-2019-8676 〜 CVE-2019-8681 他) を解決しています。対象となった脆弱性は、なりすまし、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題です。

• Safari 12.1.2 のセキュリティコンテンツについて

macOS Mojave 10.14.6、セキュリティアップデート 2019-004 High Sierra、セキュリティアップデート 2019-004 Sierra では、AppleGraphicsControl、autofs、Bluetooth、Carbon Core、Classroom、Core Data、Disk Management、FaceTime、Found in Apps、Foundation、Game Center、Grapher、グラフィックドライバ、Heimdal、IOAcceleratorFamily、libxslt、Quick Look、Safari、セキュ リティ、Siri、Time Machine、UIFoundation、WebKit コンポーネントに存在する計 42 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646、CVE-2019-8648、CVE-2019-8649、CVE-2019-8656 〜 CVE-2019-8658 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free：CWE-416)、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題です。

• macOS Mojave 10.14.6、セキュリティアップデート 2019-004 High Sierra、セキュリティアップデート 2019-004 Sierra のセキュリティコンテンツについて

watchOS 5.3 では、Core Data、Digital Touch、FaceTime、Foundation、Heimdal、libxslt、Messages、MobileInstallation、Quick Look、Siri、UIFoundation、Wallet、WebKit コンポーネントに存在する計 22 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8624、CVE-2019-8641、CVE-2019-8646 〜 CVE-2019-8648、CVE-2019-8657 〜 CVE-2019-8660 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free：CWE-416)、メモリ破損 (memory corruption：CWE-119) に起因して任意のコード実行を許してしまう問題です。

• watchOS 5.3 のセキュリティコンテンツについて

エネルギー分野で利用されている米 NREL (National Renewable Energy Laboratory)(nrel.gov) の建物全体のエネルギーシミュレーションプログラム EnergyPlus には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう複数の脆弱性 (CVE-2019-10974) が存在します。

• ICSA-19-204-02: NREL EnergyPlus

重要製造業分野などで利用されている三菱電機 (mitsubishielectric.com) の FR Configurator2 には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-10976)、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10972) が存在します。FR Configurator2 は、インバータの立上げからメンテナンスまで設定できるソフトウェア製品です。

• ICSA-19-204-01: Mitsubishi Electric FR Configurator2

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性 (CVE-2019-7317、CVE-2019-2762、CVE-2019-2769、CVE-2019-2745、CVE-2019-2816、CVE-2019-2842、CVE-2019-2786、CVE-2019-2766) が存在します。脆弱性は、Java SE 8 Update 221 で解決した AWT (libpng)、ユーティリティ、セキュリティ、ネットワーク、JCE に存在する問題です。

• hitachi-sec-2019-117: Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor における複数の脆弱性
• CVSS:2.0/AV:N/AC:H/Au:N/C:N/I:N/A:P
• CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性 (CVE-2019-7317、CVE-2019-2762、CVE-2019-2769、CVE-2019-2745、CVE-2019-2816、CVE-2019-2842、CVE-2019-2786、CVE-2019-2766) が存在します。脆弱性は、Java SE 8 Update 221 で解決した AWT (libpng)、ユーティリティ、セキュリティ、ネットワーク、JCE に存在する問題です。

• hitachi-sec-2019-116: Cosminexus における複数の脆弱性
• CVSS:2.0/AV:N/AC:H/Au:N/C:N/I:N/A:P
• CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H

MySQL 8.0.17、5.7.27、5.6.45 では、InnoDB Storage Engine、レプリケーション処理などに存在する不具合を修正しています。また、Microsoft Windows 環境では、MySQL 名前付きパイプを使用した接続の制限についての警告メッセージをサポートし、keyring_aws プラグインでは、OpenSSL 1.1 で動作する最新の AWS SDK にアップデートするなどの改善を施しています。

• Changes in MySQL 8.0.17 (2019-07-22, General Availability)
• Changes in MySQL 5.7.27 (2019-07-22, General Availability)
• Changes in MySQL 5.6.45 (2019-07-22, General Availability)

• HIRT-PUB
• 活動参考資料
• CSIRTメモ