脆弱性 : まとめらいぶ

タグ:脆弱性

1:まとめらいぶ 2019/09/27(金) 15:21:50.06 ID:CAP_USER
no title

Appleのセキュリティ情報ページ

 米Appleは、自社製ソフトで修正した脆弱性の内容を発表した。macOSやiOS、iPadOS、
watchOS、tvOSといったOSのほか、開発環境「Xcode」やWebブラウザー「Safari」など、
対象となるソフトは多岐にわたる。

□macOS
 デスクトップ向けOS「macOS」では、「macOS Mojave 10.14.6 Supplemental Update 2」、
「Security Update 2019-005 High Sierra」、「Sierra, Security Update 2019-005 Sierra」が
リリースされている。

 修正された脆弱性は、“Foundation”における入力検証の不備で範囲外読み取りが発生する欠陥
(CVE-2019-8641)のみ。リモートから予期しないアプリの終了や任意コードの実行を引き起こす
可能性がある。

About the security content of macOS Mojave 10.14.6 Supplemental Update 2,
Security Update 2019-005 High Sierra, and Security Update 2019-005 Sierra -

Apple サポート
 https://support.apple.com/ja-jp/HT210589

□iOSとiPadOS
 「iOS 13」で修正された脆弱性は、CVE番号ベースで9件。メモリ破損や任意コードの実行、
ユーザー情報の漏洩、アドレスバーのスプーフィング(なりすまし)に悪用される恐れのある
脆弱性が修正された。

About the security content of iOS 13 -

Apple サポート
 https://support.apple.com/ja-jp/HT210606

 続いてリリースされた「iOS 13.1」と 「iPadOS 13.1」でも、アクセシビリティ機能“VoiceOver”を
介してロック画面から連絡先にアクセスできてしまう不具合(CVE-2019-8775)などが修正されて
いるという。

About the security content of iOS 13.1 and iPadOS 13.1 -

Apple サポート
 https://support.apple.com/ja-jp/HT210603

 また、“iPhone 5s”や“iPhone 6”といった古いiOSデバイスにも、セキュリティアップデート
「iOS 12.4.2」が提供されている。

About the security content of iOS 12.4.2 -

Apple サポート
 https://support.apple.com/ja-jp/HT210590

□watchOS
 「watchOS 5.3.2」(Apple Watch Series 1/2)と「watchOS 6」(Apple Watch Series 3以降)
では、CVE番号ベースで1件の脆弱性が修正された。「macOS」と同様、“CVE-2019-8641”への
対策が行われている。

About the security content of watchOS 6 -

Apple サポート
 https://support.apple.com/ja-jp/HT210607

About the security content of watchOS 5.3.2 -

Apple サポート
 https://support.apple.com/ja-jp/HT210588

□tvOS
 「tvOS 13」でも、CVE番号ベースで1件の脆弱性が修正された。
機密情報の漏洩につながるキーボードの脆弱性(CVE-2019-8704)が修正された。

About the security content of tvOS 13 -

Apple サポート
 https://support.apple.com/ja-jp/HT210604

 また、「Apple TV Software 7.4」でもセキュリティ関連の修正が行われているが、
CVE番号の割り振られたものはない。

□Xcode
 「Xcode 11.0」では、CVE番号ベースで7件の脆弱性が修正された。
入力検証の不備やメモリ破損の問題により、任意のコードが実行される欠陥などが対策されている。

About the security content of Xcode 11.0 -

Apple サポート
 https://support.apple.com/ja-jp/HT210609

□Safari
 「Safari 13」で1件、「Safari 13.0.1」で2件の脆弱性が修正された(いずれもCVE番号ベース)。
ユニバーサルクロスサイトスクリプティングやユーザーインターフェイスのなりすまし、
プライベートブラウジングの履歴漏洩といった問題が解決された。

About the security content of Safari 13 -

Apple サポート
 https://support.apple.com/ja-jp/HT210608

About the security content of Safari 13.0.1 -

Apple サポート
 https://support.apple.com/ja-jp/HT210605

関連リンク
Apple security updates - Apple Support(原文)
 https://support.apple.com/en-us/HT201222

Apple セキュリティアップデート - Apple サポート(上記の日本語版)
 https://support.apple.com/ja-jp/HT201222

【窓の杜】 
 https://forest.watch.impress.co.jp/docs/news/1209659.html

引用元: 【セキュリティ】Apple製品に複数の脆弱性 ~macOSやiOS/iPadOSといったOS製品や「Xcode」が対象

(C)2015 - 2019 まとめらいぶ

続きを読む

1まとめらいぶ2017/09/12(火) 15:43:32.47ID:CAP_USER.net
ドコモのモバイルWi-Fiルーターがマルウェア感染か? 

「Wi-Fi STATION L-02F」を踏み台にしたとみられる攻撃を観測

【INTERNET Watch】
 http://internet.watch.impress.co.jp/docs/news/1080354.html



 NTTドコモより2014年2月に発売されたLG Electronics開発のモバイルWi-Fiルーター
「Wi-Fi STATION L-02F」の脆弱性を悪用した通信が観測されているという。独立行政
法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディ
ネーションセンター(JPCERT/CC)が注意を喚起するとともに、修正ファームウェア
への更新を推奨している。

 脆弱性「CVE-2017-10845」は、バックドアの問題により、攻撃者がリモートから
管理者権限で端末にアクセスし、任意のコードが実行できる可能性のあるもの。
共通脆弱性評価システム「CVSS v3」のスコアは9.8。影響を受けるのは、
ファームウェアバージョン「V10g」以前。

 この脆弱性が悪用されてマルウェアに感染し、踏み台にされたWi-Fi STATION L-02F
から第三者への攻撃が行われていると推測される通信が、JPCERT/CCの定点観測
システム「TSUBAME」で観測されている。

 脆弱性「CVE-2017-10846」は、アクセス制限不備により、リモートからウェブ管理
画面にアクセスされ、機器に保存されている設定情報を取得される可能性があるもの。
共通脆弱性評価システム「CVSS v3」のスコアは7.5。影響を受けるのは、ファーム
ウェアバージョン「V10b」以前。

 NTTドコモでは、最新版ファームウェア
「L02F-MDM9625-V10h-JUN-23-2017-DCM-JP」
を6月28日より提供している。
続きを読む

↑このページのトップヘ