PR
Hitach Incident Response Team

 7月6日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコCisco Unified Communicationsドメインマネジャ(2014/07/02)

 Cisco Unified Communicationsドメインマネジャには、管理GUIの認証および認可制御が適切ではないことに起因し、アクセス権限の昇格を許してしまう脆弱性(CVE-2014-2197)、デフォルトのSSH秘密鍵を利用した不正アクセスを許してしまう脆弱性(CVE-2014-2198)、BVSMWebポータルの認証および認可制御が適切ではないことに起因し、情報漏洩などを許してしまう脆弱性(CVE-2014-3300)が存在します。脆弱性(CVE-2014-2198)は、デフォルトのSSH秘密鍵をシステム上に残しておいたこと、システムサポートのために、すべてのシステムに同じSSH鍵を使っていたことに起因しています。

米アップル製品

■iOS 7.1.2リリース(2014/06/30)

 iOS 7.1.2では、証明書信頼ポリシー、CoreGraphics、カーネル、スクリーンロック、ロックダウン、メール、Safari、Secure Transport、設定、Siri、WebKit、launchdに存在する計44件の脆弱性を解決しています。Secure Transportに存在する脆弱性は、DTLS(Datagram Transport Layer Security)メッセージ処理の際に、初期化していないメモリーへのアクセスにより情報漏洩を許してしまう問題(CVE-2014-1361)です。

■OS X Mavericks v10.9.4リリース(2014/06/30)

 OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9~10.9.3のセキュリティアップデートとOS X Mavericks v10.9.4がリリースされました。セキュリティアップデートとOS X Mavericks v10.9.4では、証明書信頼ポリシー、Dock、グラフィックスドライバー、IOAcceleratorFamily、IOGraphicsFamily、IOReporting、Intel Compute、Intelグラフィックスドライバー、Keychain、Secure Transport、Thunderbolt、copyfile、curl、iBooks Commerce、launchdに存在する計19件の脆弱性を解決しています。

 アプリケーション、プロセス、スクリプトの起動・停止・管理を行うlaunchdに存在する脆弱性は、整数アンダーフロー、整数オーバーフロー、ヒープオーバーフローに起因する任意のコード実行を許してしまう問題(CVE-2014-1356~CVE-2014-1359)です。

■Safari 6.1.5、Safari 7.0.5リリース(2014/06/30)

 Safari 6.1.5、Safari 7.0.5では、Webkitに存在するメモリー破損に起因する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性10件、ローカルファイルへのアクセスを許してしまう脆弱性(CVE-2014-1369)、アドバスバーの詐称を許してしまう脆弱性(CVE-2014-1345)を解決しています。