1. 日立ディスクアレイシステムに対するセキュリティホール対策のお知らせ
Microsoft製品に対して、以下に示すセキュリティホールが公開されました。
[新規情報]
- Adobe Flash Playerの更新プログラム(ADV190001)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2018-8653)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0536)
- Windows Jetデータベースエンジンのリモートでコードが実行される脆弱性(CVE-2019-0538, etc)
- Chakraスクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0539, etc)
- MSHTMLエンジンのリモートでコードが実行される脆弱性(CVE-2019-0541)
- Microsoft Windowsの特権の昇格の脆弱性(CVE-2019-0543)
- .NET Frameworkの情報漏えいの脆弱性(CVE-2019-0545)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0549)
- Windows COMの特権の昇格の脆弱性(CVE-2019-0552)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0554)
- Microsoft XmlDocumentの特権の昇格の脆弱性(CVE-2019-0555)
- Microsoft Edgeの特権の昇格の脆弱性(CVE-2019-0566)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0569)
- Windowsランタイムの特権の昇格の脆弱性(CVE-2019-0570)
- Windowsデータ共有サービスの特権の昇格の脆弱性(CVE-2019-0571, etc)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(16)の脆弱性の影響は下記の通りです。
- 本件はAdobe Flash Playerの更新プログラムです。この更新プログラムで解決したセキュリティの脆弱性はありません。
- スクリプトエンジンがInternet Explorerでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows Jetデータベースエンジンがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるWindows Jetデータベースエンジンを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0538, CVE-2019-0575, CVE-2019-0576, CVE-2019-0577, CVE-2019-0578,
CVE-2019-0579, CVE-2019-0580, CVE-2019-0581, CVE-2019-0582, CVE-2019-0583, CVE-2019-0584
- Chakraスクリプトエンジンが Microsoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0539, CVE-2019-0567
- MSHTMLエンジンによる入力の不適切な検証方法にリモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたファイルを処理する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsが認証要求を正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- .NET Frameworkおよび.NET CoreにCross-origin Resource Sharing (CORS)構成をバイパスすることを可能にする脆弱性が存在します。本脆弱性を攻撃者に悪用されるとWebアプリケーションの通常は制限されているコンテンツを取得される可能性があります。SVPはサブシステム管理専用装置であり、.NET Frameworkを用いたアプリケーションは提供していません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows COM Desktop Brokerに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Microsoft XmlDocumentクラスに、攻撃者がブラウザーのAppContainerサンドボックスからエスケープすることができる特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたXMLドキュメントを開く必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Microsoft Edge Browser Broker COMオブジェクトに特権の昇格の脆弱性が存在します。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsランタイムがメモリ内のオブジェクトを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsデータ共有サービスがファイル操作を正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0571, CVE-2019-0572, CVE-2019-0573, CVE-2019-0574
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。