5月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アップル製品
■iTunes 12.4リリース(206/05/16)
iTunes 12.4では、iTunesのインストーラー実行時に、任意のコード実行を許してしまう脆弱性(CVE-2016-1742)を解決しています。これは、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者により細工された外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性です。
■Safari 9.1.1リリース(206/05/16)
Safari 9.1.1では、Safari、WebKit関連コンポーネントに存在する計7件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行などを許してしまう問題です。
■OS X El Capitan 10.11.5リリース(206/05/16)
OS X El Capitan 10.11.5では、ディスクイメージ、グラフィックドライバー、カーネル、libc、libxml2、libxslt、OpenGL、QuickTime、スクリーンロックなどのコンポーネントに存在する計69件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照(NULL pointer dereference:CWE-476)、メモリー破損、整数オーバーフローに起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。
■watchOS 2.2.1リリース(206/05/16)
watchOS 2.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGLなどのコンポーネントに存在する計26件の脆弱性などの問題点を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して任意のコード実行、サービス拒否攻撃などを許してしまう問題です。
■iOS 9.3.2リリース(206/05/16)
iOS 9.3.2では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、Safari、Siri、WebKit関連などのコンポーネントに存在する計39件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリー破損、NULLポインター参照に起因して任意のコード実行やサービス拒否攻撃などを許してしまう問題です。
■tvOS 9.2.1リリース(2016/05/16)
tvOS 9.2.1では、ディスクイメージ、カーネル、libc、libxml2、libxslt、OpenGL、WebKit関連などのコンポーネントに存在する計33件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、NULLポインター参照、メモリー破損に起因して、任意のコード実行やサービス拒否攻撃などを許してしまう問題です。
米シスコ製品
■Web Security Appliance(2016/05/18)
Webセキュリティのアプライアンス製品Cisco Web Security Applianceで使用しているCisco AsyncOSのHTTP POST要求処理、ファイルの範囲指定処理、HTTP要求処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1380~CVE-2016-1382)が存在します。不正なHTTP要求を受信した場合に、この脆弱性の影響を受ける可能性があります。
- シスコ:cisco-sa-20160518-wsa3: Cisco Web Security Appliance HTTP Length Denial of Service Vulnerability
- シスコ:cisco-sa-20160518-wsa2: Cisco Web Security Appliance Cached Range Request Denial of Service Vulnerability
- シスコ:cisco-sa-20160518-wsa1: Cisco Web Security Appliance HTTP POST Denial of Service Vulnerability
