更新日:<2019.09.02>
watchOS 5.3.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。
iOS 12.4.1 では、カーネルに存在するメモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8605) を解決しています。
macOS Mojave 10.14.6 追加アップデートでは、カーネルに存在するメモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8605) を解決しています。
tvOS 12.4.1 では、カーネルに存在するメモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8605) を解決しています。
公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) の超音波画像システム HDI 4000 Ultrasound には、サポートが終了した機能の使用 (CWE-477) に関する脆弱性 (CVE-2019-10988) が存在します。悪用された場合、超音波画像の漏洩や改ざんなどを許してしまう可能性があります。
公共衛生・ヘルスケア分野で利用されている米 Change Healthcare(changehealthcare.com) の心血管情報システム Horizon Cardiology、McKesson Cardiology、Change Healthcare Cardiology には、適切でないデフォルトアクセス許可 (CWE-276) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-18630) が存在します。
重要製造業分野で利用されているイタリア Datalogic(datalogic.com) のバーコードスキャナ AV7000 には、代替経路やチャネルによる認証機構の迂回 (CWE-288) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13526) が存在します。
商業施設、政府施設分野で利用されているカナダ Delta Controls(deltacontrols.com) のビル管理などアプリケーションに使用されている enteliBUS コントローラには、バッファオーバーフロー (CWE-120) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-9569) が存在します。
キャッシュ DNS サーバの一つである Unbound のバージョン 1.9.3 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。
BIND 9.14.5、9.11.10 は、不具合の修正や改善を目的としたリリースです。BIND 9.14.3、9.11.8 で解決した多数のパケットを破棄する際に引き起こされる競合状態に起因して named が異常終了してしまうしまう問題 (CVE-2019-6471) に対応しています。
PHP 7.3.9、7.1.32 では、正規表現ライブラリ Oniguruma 6.9.3 で解決したメモリの解放後使用 (use-after-free:CWE-416) の脆弱性 (CVE-2019-13224) に対応しています。また、7.3.9 では、Core、Curl、Exif、FPM、Iconv、LiteSpeed、MBString、MySQLnd、Opcache、Standard コンポーネントに存在する計 16 件の不具合、7.1.32 では、MBString、pcre コンポーネントに存在する計 2 件の不具合を修正しています。不具合の中には、メモリの解放後使用 (use-after-free: CWE-416) が含まれています。
7.2.22 では、Core、Curl、Exif、Iconv、LiteSpeed、MySQLnd、Opcache、Standard コンポーネントに存在する計 10 件の不具合を修正しています。
Ruby 2.6.4、2.5.6、2.4.7 では、Ruby の標準添付ライブラリ RDoc の jQuery に存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2012-6708、CVE-2015-9251) を解決しています。
担当:寺田、大西/HIRT