Hitach Incident Response Team

 5月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル製品

■iTunes 12.4リリース(206/05/16)

 iTunes 12.4では、iTunesのインストーラー実行時に、任意のコード実行を許してしまう脆弱性(CVE-2016-1742)を解決しています。これは、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者により細工された外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性です。

■Safari 9.1.1リリース(206/05/16)

 Safari 9.1.1では、Safari、WebKit関連コンポーネントに存在する計7件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行などを許してしまう問題です。

■OS X El Capitan 10.11.5リリース(206/05/16)

 OS X El Capitan 10.11.5では、ディスクイメージ、グラフィックドライバー、カーネル、libc、libxml2、libxslt、OpenGL、QuickTime、スクリーンロックなどのコンポーネントに存在する計69件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照(NULL pointer dereference:CWE-476)、メモリー破損、整数オーバーフローに起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。

■watchOS 2.2.1リリース(206/05/16)

 watchOS 2.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGLなどのコンポーネントに存在する計26件の脆弱性などの問題点を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。

■iOS 9.3.2リリース(206/05/16)

 iOS 9.3.2では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、Safari、Siri、WebKit関連などのコンポーネントに存在する計39件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損、NULLポインター参照に起因して任意のコード実行やサービス拒否攻撃などを許してしまう問題です。

■tvOS 9.2.1リリース(2016/05/16)

 tvOS 9.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、WebKit関連などのコンポーネントに存在する計33件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して、任意のコード実行やサービス拒否攻撃などを許してしまう問題です。

米シスコ製品

■Web Security Appliance(2016/05/18)

 Webセキュリティのアプライアンス製品Cisco Web Security Applianceで使用しているCisco AsyncOSのHTTP POST要求処理、ファイルの範囲指定処理、HTTP要求処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1380~CVE-2016-1382)が存在します。不正なHTTP要求を受信した場合に、この脆弱性の影響を受ける可能性があります。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら