Hitach Incident Response Team

 3月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Flash Player 11.1.102.63リリース:APSB12-05(2012/03/05)

 メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2012-0768)、情報漏洩を許してしまう脆弱性(CVE-2012-0769)、計2件を解決したAdobe Flash Player 11.1.102.63/10.3.183.16、Android 4.x版Adobe Flash Player 11.1.115.7、Android 3.xおよび2.x版Adobe Flash Player 11.1.111.7がリリースされました。

米アップル製品に複数の脆弱性

■Apple TV 5.0(2012/03/07)

 libresolvにおける整数オーバーフローに起因し、任意のコード実行やサービス不能攻撃を許してしまう脆弱性(CVE-2011-3453)を解決しています。

■iOS 5.1(2012/03/07)

 iOS 5.1では、CFNetwork、HFS、Kernel、Passcode Lock、Safari、Siri、VPN、WebKit、libresolvに存在する計81件の脆弱性を解決しています。

■iTunes 10.6(2012/03/07)

 iTunes 10.6では、メモリー破損に起因し、任意のコード実行やサービス不能攻撃を許してしまうWebKitの計72件の脆弱性を解決しています。

VMware製品に複数の脆弱性

■vCenter Chargeback Manager:VMSA-2012-0002(2012/03/08)

 仮想マシンのリソース消費に関するデータに基づき、コスト算出をカスタマイズするVMware vCenter Chargeback ManagerのXML API処理には、情報漏洩やサービス不能攻撃を許してしまう脆弱性(CVE-2012-1472)が存在します。

■VMware vCenter/ESX:VMSA-2012-0003(2012/03/08)

 vCenterとESXに関するJRE 1.5.0_32へのアップデート情報です。JRE 1.5.0_32は、Java SE 7 Update1、Java SE 6 Update 29相当で、2011年10月に報告された20件のセキュリティアップデートが含まれています。

制御システム系製品の脆弱性

 3月7日、ICS-CERTからXクラスの太陽フレア(太陽表面での巨大な爆発)が2回発生し、強力な太陽嵐が地球に到達していることを通知する注意喚起が発行されました。この注意喚起では、送電網、通信衛星や全地球測位システム(GPS)などに障害が起こる可能性と、3月8日時点では被害発生はないことを報告しています。太陽フレアの規模は、X線の強度によってX、M、C、B、Aの五つに分類され、Xが最上位のクラスになります。

■xArrow(2012/03/05)

 SCADAシステム用HMI(Human Machine Interface)パッケージであるxArrow(xarrow.net)には、メモリー破損やNULLポインターに起因する任意のコード実行やサービス不能攻撃を許してしまう脆弱性が存在します。

Cyber Security Bulletin SB12-065(2012/03/05)

 2月27日の週に報告された脆弱性の中から、OpenSSLの脆弱性を取り上げます(Vulnerability Summary for the Week of February 27, 2012)。

■OpenSSLにサービス不能の脆弱性(2012/02/29)

 OpenSSL 0.9.8tならびに、それ以前のバージョンには、NULLポインターに起因するサービス不能攻撃を許してしまう脆弱性(CVE-2006-7250)が存在します。この問題は、2012年2月上旬に、不正なMIMEヘッダーを持つS/MIMEメッセージを処理する際にNULLポインターに起因する問題として報告されました。その後、2006年8月下旬にSMIME_read_PKCS7がMIMEではないファイルを処理する際に異常終了してしまう問題が指摘されていたことから、2006年のCVE番号が付与されています。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。