PR

Hitach Incident Response Team

 5月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル製品

■iTunes 12.4リリース(206/05/16)

 iTunes 12.4では、iTunesのインストーラー実行時に、任意のコード実行を許してしまう脆弱性(CVE-2016-1742)を解決しています。これは、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者により細工された外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性です。

■Safari 9.1.1リリース(206/05/16)

 Safari 9.1.1では、Safari、WebKit関連コンポーネントに存在する計7件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行などを許してしまう問題です。

■OS X El Capitan 10.11.5リリース(206/05/16)

 OS X El Capitan 10.11.5では、ディスクイメージ、グラフィックドライバー、カーネル、libc、libxml2、libxslt、OpenGL、QuickTime、スクリーンロックなどのコンポーネントに存在する計69件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照(NULL pointer dereference:CWE-476)、メモリー破損、整数オーバーフローに起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。

■watchOS 2.2.1リリース(206/05/16)

 watchOS 2.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGLなどのコンポーネントに存在する計26件の脆弱性などの問題点を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。

■iOS 9.3.2リリース(206/05/16)

 iOS 9.3.2では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、Safari、Siri、WebKit関連などのコンポーネントに存在する計39件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損、NULLポインター参照に起因して任意のコード実行やサービス拒否攻撃などを許してしまう問題です。

■tvOS 9.2.1リリース(2016/05/16)

 tvOS 9.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、WebKit関連などのコンポーネントに存在する計33件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して、任意のコード実行やサービス拒否攻撃などを許してしまう問題です。

米シスコ製品

■Web Security Appliance(2016/05/18)

 Webセキュリティのアプライアンス製品Cisco Web Security Applianceで使用しているCisco AsyncOSのHTTP POST要求処理、ファイルの範囲指定処理、HTTP要求処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1380~CVE-2016-1382)が存在します。不正なHTTP要求を受信した場合に、この脆弱性の影響を受ける可能性があります。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
有料会員と登録会員の違い