2016年9月5日初版公開
(1)MSM デバイスなどの製品用 QuIC Android コントリビューションで使用される Linux Kernel の MDSS ドライバにおける整数オーバーフローの脆弱性(CVE-2016-5344)
ベンダ情報 Code Aurora Forum : Merge "msm: mdss: validate layer count before copying userdata"
https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=1d2297267c24f2c44bd0ecb244ddb8bc880a29b7
Code Aurora Forum : Integer Overflow in MDSS Driver (CVE-2016-5344)
https://www.codeaurora.org/integer-overflow-mdss-driver-cve-2016-5344
Linux Kernel : Linux Kernel Archives
http://www.kernel.org/CVSS による深刻度 10 (危険) [ NVD値 ] 概要 MSM デバイスおよびその他の製品用 Qualcomm Innovation Center (QuIC) Android コントリビューションで使用される Linux Kernel の MDSS ドライバには、mdss_compat_utils.c、mdss_fb.c、および mdss_rotator.c に関する処理に不備があるため、整数オーバーフローの脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-190: Integer Overflow or Wraparound (整数オーバーフローまたはラップアラウンド) と識別されています。 http://cwe.mitre.org/data/definitions/190.html 影響を受ける製品 kernel.org
Linux Kernel 3.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 MSM デバイスなどの製品用 QuIC Android コントリビューションで使用される Linux Kernel の MDSS ドライバにおける整数オーバーフローの脆弱性(JVNDB-2016-004486)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004486.html
Vulnerability Summary for CVE-2016-5344 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5344(2)MSM デバイスなどの製品用 QuIC Android コントリビューションで使用される Linux Kernel の wcnss_wlan デバイスドライバにおけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-5342)
ベンダ情報 Code Aurora Forum : Buffer overflow vulnerability in wcnss_wlan_write (CVE-2016-5342)
https://www.codeaurora.org/buffer-overflow-vulnerability-wcnsswlanwrite-cve-2016-5342
Code Aurora Forum : wcnss: Avoid user buffer overloading for write cal data
https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=579e796cb089324c55e0e689a180575ba81b23d9
Linux Kernel : Linux Kernel Archives
http://www.kernel.org/CVSS による深刻度 10 (危険) [ NVD値 ] 概要 MSM デバイスおよびその他の製品用 Qualcomm Innovation Center (QuIC) Android コントリビューションで使用される Linux Kernel の wcnss_wlan デバイスドライバの drivers/net/wireless/wcnss/wcnss_wlan.c の wcnss_wlan_write 関数には、ヒープベースのバッファオーバーフローの脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 3.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 MSM デバイスなどの製品用 QuIC Android コントリビューションで使用される Linux Kernel の wcnss_wlan デバイスドライバにおけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2016-004485)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004485.html
Vulnerability Summary for CVE-2016-5342 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5342(3)VMware vRealize Automation における任意のコードを実行される脆弱性(CVE-2016-5336)
ベンダ情報 VMware Security Advisories : VMSA-2016-0013
http://www.vmware.com/security/advisories/VMSA-2016-0013.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 VMware vRealize Automation には、任意のコードを実行される脆弱性が存在します。 影響を受ける製品 VMware
VMware vRealize Automation 7.1 未満の 7.0.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 VMware vRealize Automation における任意のコードを実行される脆弱性(JVNDB-2016-004483)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004483.html
Vulnerability Summary for CVE-2016-5336 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5336(4)VMware Identity Manager および vRealize Automation における root アクセス権を取得される脆弱性(CVE-2016-5335)
ベンダ情報 VMware Security Advisories : VMSA-2016-0013
http://www.vmware.com/security/advisories/VMSA-2016-0013.htmlCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 VMware Identity Manager および vRealize Automation には、root アクセス権を取得される脆弱性が存在します。 影響を受ける製品 VMware
VMware Identity Manager 2.7 未満の 2.x
VMware vRealize Automation 7.1 未満の 7.0.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 VMware Identity Manager および vRealize Automation における root アクセス権を取得される脆弱性(JVNDB-2016-004482)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004482.html
Vulnerability Summary for CVE-2016-5335 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5335(5)VMware Photon OS OVA における SSH アクセス権を取得される脆弱性(CVE-2016-5333)
ベンダ情報 GitHub : Updated OVAs for CVE-2016-5333
https://github.com/vmware/photon/blob/master/CHANGELOG.md
VMware Security Advisories : VMSA-2016-0012
http://www.vmware.com/security/advisories/VMSA-2016-0012.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 VMware Photon OS OVA は、authorized_keys ファイル内にデフォルトの SSH 公開鍵を持つため、SSH アクセス権を取得される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-798: Use of Hard-coded Credentials (ハードコードされた認証情報の使用) と識別されています。 http://cwe.mitre.org/data/definitions/798.html 影響を受ける製品 VMware
Photon OS OVA 2016-08-14 より前の 1.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 VMware Photon OS OVA における SSH アクセス権を取得される脆弱性(JVNDB-2016-004481)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004481.html
Vulnerability Summary for CVE-2016-5333 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5333(6)Accellion Kiteworks アプライアンスにおける権限を取得される脆弱性(CVE-2016-5662)
ベンダ情報 Accellion : kiteworks by Accellion
https://www.accellion.com/solutionsCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Accellion Kiteworks アプライアンスは、setuid の root 権限を /opt/bin/cli に使用するため、権限を取得される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-276: Incorrect Default Permissions (不適切なデフォルトパーミッション) と識別されています。 http://cwe.mitre.org/data/definitions/276.html 影響を受ける製品 Accellion
kiteworks kw2016.03.00 未満対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Accellion Kiteworks アプライアンスにおける権限を取得される脆弱性(JVNDB-2016-004474)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004474.html
Vulnerability Summary for CVE-2016-5662 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5662(7)ReadyDesk の chat/sendfile.aspx における任意のコードを実行される脆弱性(CVE-2016-5050)
ベンダ情報 ReadyDesk : ReadyDesk version 9.2 is now available
http://readydesk.com/news.asp?ID=88CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 ReadyDesk の chat/sendfile.aspx には、ファイルを無制限にアップロードされることにより、任意のコードを実行される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-434: Unrestricted Upload of File with Dangerous Type (危険なタイプのファイルの無制限アップロード) と識別されています。 http://cwe.mitre.org/data/definitions/434.html 影響を受ける製品 ReadyDesk.com
ReadyDesk 9.1対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 ReadyDesk の chat/sendfile.aspx における任意のコードを実行される脆弱性(JVNDB-2016-004472)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004472.html
Vulnerability Summary for CVE-2016-5050 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5050(8)ReadyDesk の chat/staff/default.aspx における SQL インジェクションの脆弱性(CVE-2016-5048)
ベンダ情報 ReadyDesk : ReadyDesk version 9.2 is now available
http://readydesk.com/news.asp?ID=88CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 ReadyDesk の chat/staff/default.aspx には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 ReadyDesk.com
ReadyDesk 9.1対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 ReadyDesk の chat/staff/default.aspx における SQL インジェクションの脆弱性(JVNDB-2016-004470)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004470.html
Vulnerability Summary for CVE-2016-5048 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5048(9)Apple iOS のカーネルにおける特権付きコンテキスト内で任意のコードを実行される脆弱性(CVE-2016-4656)
ベンダ情報 Apple : Apple security updates
https://support.apple.com/en-us/HT201222
Apple Mailing Lists : APPLE-SA-2016-08-25-1 iOS 9.3.5
http://lists.apple.com/archives/security-announce/2016/Aug/msg00000.html
Apple Security Updates : HT207107
https://support.apple.com/en-us/HT207107
Apple セキュリティアップデート : HT207107
https://support.apple.com/ja-jp/HT207107CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Apple iOS のカーネルには、特権付きコンテキスト内で任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 影響を受ける製品 アップル
iOS 9.3.5 未満 (iPad 2 以降)
iOS 9.3.5 未満 (iPhone 4s 以降)
iOS 9.3.5 未満 (iPod touch 第 5 世代以降)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Apple iOS のカーネルにおける特権付きコンテキスト内で任意のコードを実行される脆弱性(JVNDB-2016-004456)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004456.html
Vulnerability Summary for CVE-2016-4656 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4656(10)Apple iOS のカーネルにおけるメモリから重要な情報を取得される脆弱性(CVE-2016-4655)
ベンダ情報 Apple : Apple security updates
https://support.apple.com/en-us/HT201222
Apple Mailing Lists : APPLE-SA-2016-08-25-1 iOS 9.3.5
http://lists.apple.com/archives/security-announce/2016/Aug/msg00000.html
Apple Security Updates : HT207107
https://support.apple.com/en-us/HT207107
Apple セキュリティアップデート : HT207107
https://support.apple.com/ja-jp/HT207107CVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 Apple iOS のカーネルには、メモリから重要な情報を取得される脆弱性が存在します。 影響を受ける製品 アップル
iOS 9.3.5 未満 (iPad 2 以降)
iOS 9.3.5 未満 (iPhone 4s 以降)
iOS 9.3.5 未満 (iPod touch 第 5 世代以降)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Apple iOS のカーネルにおけるメモリから重要な情報を取得される脆弱性(JVNDB-2016-004455)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004455.html
Vulnerability Summary for CVE-2016-4655 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4655(11)複数の D-Link 製ルータにバッファオーバーフローの脆弱性(CVE-2016-5681)
ベンダ情報 Announcement : SAP10063:CVE-2016-5681 - VU#332115 - Some D-Link routers are vulnerable to buffer overflow exploit.
http://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10063
D-Link : Technical Support
http://support.dlink.com/CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 D-Link が提供する複数のルータ製品には、スタックベースのバッファオーバーフローの脆弱性が存在します。 スタックベースのバッファオーバーフロー(CWE-121) - CVE-2016-5681 プログラム cgibin 内の関数に含まれるセッションクッキーを検証する処理には、スタックベースのバッファオーバーフローが存在します。 この関数は、WAN 側インターフェースの 8181/tcp で待ち受けるサービスでも使用されています。 CWE-121: Stack-based Buffer Overflow https://cwe.mitre.org/data/definitions/121.html 影響を受ける製品 D-Link Systems, Inc.
DIR-817L(W) Rev. Ax
DIR-818L(W) Rev. Ax
DIR-822 Rev. A1、Official FW v3.01 (v3.01WWb02) より前のバージョン
DIR-823 Rev. A1、Official FW v1.00 (v1.00WWb05) より前のバージョン
DIR-850L Rev. B1、Official FW v2.07 (v2.07WWB05) より前のバージョン
DIR-868L Rev. B1、Official FW v2.03 (v2.03WWb01) より前のバージョン
DIR-868L Rev. C1、Official FW v3.00 (v3.00WWb01) より前のバージョン
DIR-880L Rev. A1、Official FW v1.07 (v1.07WWb08) より前のバージョン
DIR-885L Rev. A1、Official FW v1.11 (v1.11WWb07) より前のバージョン
DIR-890L Rev A1、Official FW v1.09 (v1.09b14) より前のバージョン
DIR-895L Rev. A1、Official FW v1.11 (v1.11WWb04) より前のバージョン対策 [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 D-Link 社の情報によると、DIR-817L および DIR-818L の対応については、8月末に提供予定とされています。 参考情報 複数の D-Link 製ルータにバッファオーバーフローの脆弱性(JVNDB-2016-004310)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004310.html
Vulnerability Summary for CVE-2016-5681 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5681(12)Cisco AnyConnect Secure Mobility Client における権限を取得される脆弱性(CVE-2016-6369)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160824-anyconnect
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160824-anyconnectCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Cisco AnyConnect Secure Mobility Client は、パス名を誤って処理するため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCuz92464 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco AnyConnect Secure Mobility Client 4.2.05015 未満
Cisco AnyConnect Secure Mobility Client 4.3.02039 未満の 4.3.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco AnyConnect Secure Mobility Client における権限を取得される脆弱性(JVNDB-2016-004453)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004453.html
Vulnerability Summary for CVE-2016-6369 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6369(13)複数の HPE 製品の Smart Update における任意のコードを実行される脆弱性(CVE-2016-4377)
ベンダ情報 HPE Security Bulletin : HPSBGN03634
https://h20566.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05237578CVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 複数の HPE 製品の Smart Update には、任意のコードを実行される脆弱性が存在します。 影響を受ける製品 ヒューレット・パッカード・エンタープライズ
Converged Infrastructure Solution Sizer Suite 2.13.1 未満
HPE Insight Management Sizer 16.12.1 未満
HPE Power Advisor 7.8.2 未満
HPE SAP Sizing Tool 16.12.1 未満
HPE Sizer for ConvergedSystems Virtualization 16.7.1 未満
HPE Sizer for Microsoft Exchange Server 2010 16.12.1 未満
HPE Sizer for Microsoft Exchange Server 2013 16.12.1 未満
HPE Sizer for Microsoft Exchange Server 2016 16.12.1 未満
HPE Sizer for Microsoft Lync Server 2013 16.12.1 未満
HPE Sizer for Microsoft SharePoint 2010 16.11.1 未満
HPE Sizer for Microsoft SharePoint 2013 16.13.1 未満
HPE Sizer for Microsoft Skype for Business Server 2015 16.5.1 未満
HPE Sizing Tool for SAP Business Suite powered by HANA 16.11.1 未満
HPE Storage Sizing Tool 13.0 未満
HPE Synergy Planning Tool 3.3 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の HPE 製品の Smart Update における任意のコードを実行される脆弱性(JVNDB-2016-004452)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004452.html
Vulnerability Summary for CVE-2016-4377 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4377(14)WatchGuard RapidStream アプライアンスにおける権限を取得される脆弱性(CVE-2016-7089)
ベンダ情報 WatchGuard : NSA Equation Group Exploit Leak, What Does It Mean to You?
https://www.secplicity.org/2016/08/16/nsa-equation-group-exploit-leak-mean/
WatchGuard : Equation Group からのツール流出に対するウォッチガードの見解
https://www.watchguard.co.jp/security-news/wg-statement-on-exploit-leak.htmlCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 WatchGuard RapidStream アプライアンスには、権限を取得され、任意のコマンドを実行される脆弱性が存在します。 本脆弱性は ESCALATEPLOWMAN と呼ばれています。 影響を受ける製品 ウォッチガード・テクノロジー
RapidStream HASH(0x8b1fbf0)対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 WatchGuard RapidStream アプライアンスにおける権限を取得される脆弱性(JVNDB-2016-004451)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004451.html
Vulnerability Summary for CVE-2016-7089 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7089(15)Apple iOS にメモリ破損の脆弱性(CVE-2016-4654)
ベンダ情報 Apple : Apple security updates
https://support.apple.com/en-us/HT201222
Apple Security Updates : HT207026
https://support.apple.com/en-us/HT207026
Apple セキュリティアップデート : HT207026
https://support.apple.com/ja-jp/HT207026CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Apple が提供する iOS には IOMobileFrameBuffer にメモリ破損の脆弱性が存在します。 影響を受ける製品 アップル
iOS 9.3.4 より前のバージョン対策 [アップデートする] 本脆弱性は iOS 9.3.4 で修正されています。 開発者が提供する情報をもとに、システムをアップデートしてください。 参考情報 Apple iOS にメモリ破損の脆弱性(JVNDB-2016-004189)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004189.html
Vulnerability Summary for CVE-2016-4654 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4654(16)Zmodo ZP-NE14-S および ZP-IBH13-W デバイスにおけるアクセス権を取得される脆弱性(CVE-2016-5081)
ベンダ情報 Zmodo : Top Page
https://www.zmodo.com/CVSS による深刻度 10 (危険) [ NVD値 ] 概要 Zmodo ZP-NE14-S および ZP-IBH13-W デバイスは、ハードコードされた root パスワードを使用するため、アクセス権を取得される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-798: Use of Hard-coded Credentials (ハードコードされた認証情報の使用) と識別されています。 http://cwe.mitre.org/data/definitions/798.html 影響を受ける製品 Zmodo
ZP-IBH13-W HASH(0x8b098e0)
ZP-NE14-S HASH(0x8af0d50)対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zmodo ZP-NE14-S および ZP-IBH13-W デバイスにおけるアクセス権を取得される脆弱性(JVNDB-2016-004447)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004447.html
Vulnerability Summary for CVE-2016-5081 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5081(17)複数の Rockwell Automation MicroLogix 1400 PLC デバイスにおける任意のファームウェアアップデートをロードされる脆弱性(CVE-2016-5645)
ベンダ情報 Rockwell Automation : MicroLogix 1400 Programmable Logic Controller Systems
http://ab.rockwellautomation.com/Programmable-Controllers/MicroLogix-1400CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 複数の Rockwell Automation MicroLogix 1400 PLC デバイスは、ハードコードされた SNMP コミュニティを使用するため、任意のファームウェアアップデートをロードされる脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html 影響を受ける製品 Rockwell Automation
1766-L32AWA HASH(0x8b0ff90)
1766-L32AWAA HASH(0x8a8db50)
1766-L32BWA HASH(0x8aed710)
1766-L32BWAA HASH(0x8b22378)
1766-L32BXB HASH(0x8b1cfd8)
1766-L32BXBA HASH(0x8b22338)対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 複数の Rockwell Automation MicroLogix 1400 PLC デバイスにおける任意のファームウェアアップデートをロードされる脆弱性(JVNDB-2016-004446)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004446.html
Vulnerability Summary for CVE-2016-5645 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5645(18)Fortinet FortiOS および FortiSwitch の Cookie パーサにおけるバッファオーバーフローの脆弱性(CVE-2016-6909)
ベンダ情報 FortiGuard Security Advisories : Cookie Parser Buffer Overflow Vulnerability
http://fortiguard.com/advisory/FG-IR-16-023CVSS による深刻度 10 (危険) [ NVD値 ] 概要 Fortinet FortiOS および FortiSwitch の Cookie パーサには、バッファオーバーフローの脆弱性が存在します。 本脆弱性は、EGREGIOUSBLUNDER の脆弱性と呼ばれています。 影響を受ける製品 フォーティネット
FortiOS 4.1.11 未満の 4.x
FortiOS 4.2.13 未満の 4.2.x
FortiOS 4.3.9 未満の 4.3.x
FortiSwitch 3.4.3 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Fortinet FortiOS および FortiSwitch の Cookie パーサにおけるバッファオーバーフローの脆弱性(JVNDB-2016-004445)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004445.html
Vulnerability Summary for CVE-2016-6909 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6909(19)Cisco ASR 9001 デバイス上で稼動する Cisco IOS XR におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-6355)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160810-iosxr
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160810-iosxrCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco ASR 9001 デバイス上で稼動する Cisco IOS XR には、メモリリークにより、サービス運用妨害 (コントロールプレーンプロトコルの停止) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCux26791 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco IOS XR 5.1.3 までの 5.1.x
Cisco IOS XR 5.2.5 までの 5.2.x
Cisco IOS XR 5.3.2 までの 5.3.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco ASR 9001 デバイス上で稼動する Cisco IOS XR におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004442)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004442.html
Vulnerability Summary for CVE-2016-6355 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6355(20)HPE StoreFabric Bシリーズ ストレージスイッチ上で稼動する FOS における重要な情報を取得される脆弱性(CVE-2016-4376)
ベンダ情報 Brocade : Brocade Fabric OS (FOS) 7.x Compatibility Matrix
https://www.brocade.com/content/dam/common/documents/content-types/product-matrix/brocade-compatibility-matrix-fos-7x-mx.pdf
HPE Security Bulletin : HPSBST03629
https://h20566.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05236212CVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 HPE StoreFabric Bシリーズ ストレージスイッチ上で稼動する FOS には、重要な情報を取得される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html 影響を受ける製品 ヒューレット・パッカード・エンタープライズ
StoreFabric Bシリーズ ストレージスイッチ HASH(0x8b228c8)
ブロケード コミュニケーションズ システムズ株式会社
Brocade Fabric OS 7.4.1d 未満
Brocade Fabric OS 8.0.1 未満の 8.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 HPE StoreFabric Bシリーズ ストレージスイッチ上で稼動する FOS における重要な情報を取得される脆弱性(JVNDB-2016-004438)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004438.html
Vulnerability Summary for CVE-2016-4376 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4376(21)Citrix XenApp および XenDesktop における不特定のセキュリティ緩和策を弱められる脆弱性(CVE-2016-6493)
ベンダ情報 Citrix Knowledge Center : CTX215460
http://support.citrix.com/article/CTX215460CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Citrix XenApp および XenDesktop には、不特定のセキュリティ緩和策を弱められる脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html 影響を受ける製品 シトリックス・システムズ
Citrix XenApp 6.5 HRP07 未満の 6.x
Citrix XenApp 7.9 未満の 7.x
Citrix XenDesktop 7.9 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Citrix XenApp および XenDesktop における不特定のセキュリティ緩和策を弱められる脆弱性(JVNDB-2016-004437)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004437.html
Vulnerability Summary for CVE-2016-6493 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6493(22)複数の Cisco Aironet デバイスのソフトウェアにおける権限を取得される脆弱性(CVE-2016-6362)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160817-aap1
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-aap1CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Cisco Aironet 1800、2800、および 3800 デバイスのソフトウェアには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCuz24725 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Aironet アクセス ポイント ソフトウェア 8.2.110.0 未満
Cisco Aironet アクセス ポイント ソフトウェア 8.2.121.0 未満の 8.2.12x
Cisco Aironet アクセス ポイント ソフトウェア 8.3.102.0 未満の 8.3.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Cisco Aironet デバイスのソフトウェアにおける権限を取得される脆弱性(JVNDB-2016-004434)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004434.html
Vulnerability Summary for CVE-2016-6362 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6362(23)Cisco Unified IP Phone 8800 デバイスのソフトウェアにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1479)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160817-ipp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-ippCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco Unified IP Phone 8800 デバイスのソフトウェアには、サービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCuz03038 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Unified IP Phone 8800 シリーズ ファームウェア 11.0(1)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Unified IP Phone 8800 デバイスのソフトウェアにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004430)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004430.html
Vulnerability Summary for CVE-2016-1479 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1479(24)Cargotec Navis WebAccess のニュースページにおける SQL インジェクションの脆弱性(CVE-2016-5817)
ベンダ情報 Navis : Top Page
http://navis.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Cargotec Navis WebAccess のニュースページには、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Navis
Navis WebAccess 2016-08-10 より前対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Cargotec Navis WebAccess のニュースページにおける SQL インジェクションの脆弱性(JVNDB-2016-004428)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004428.html
Vulnerability Summary for CVE-2016-5817 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5817(25)複数の Cisco Adaptive Security Appliance デバイス上で稼動する ASA ソフトウェアにおけるバッファオーバーフローの脆弱性(CVE-2016-6366)
ベンダ情報 Cisco Blogs : The Shadow Brokers EPICBANANAS and EXTRABACON Exploits
http://blogs.cisco.com/security/shadow-brokers
Cisco Event Response : Cisco ASA SNMP and CLI Remote Code Execution Vulnerabilities
http://www.cisco.com/cisco/web/support/JP/110/1103/1103980_cisco-sa-20110223-asa-j.html
Cisco Security Advisory : cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmpCVSS による深刻度 8.5 (危険) [ NVD値 ] 概要 Cisco Adaptive Security Appliance (ASA) 5500、ASA 5500-X、ASA Services Module、ASA 1000V、ASAv、Firepower 9300 ASA Security Module などのデバイス上で稼動する ASA ソフトウェアには、バッファオーバーフローの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCva92151 または EXTRABACON として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Adaptive Security Appliance ソフトウェア HASH(0x8b10640)
Cisco ASA 1000V クラウド ファイアウォール ソフトウェア HASH(0x8af3a18)
Cisco FirePOWER Services for ASA HASH(0x8ae3460)
Cisco Firepower Threat Defense ソフトウェア HASH(0x8b13fa0)
Cisco Pix Firewall ソフトウェア HASH(0x8b20480)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Cisco Adaptive Security Appliance デバイス上で稼動する ASA ソフトウェアにおけるバッファオーバーフローの脆弱性(JVNDB-2016-004414)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004414.html
Vulnerability Summary for CVE-2016-6366 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6366(26)Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI におけるユーザアカウント権限を拡大される脆弱性(CVE-2016-1458)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160817-firepower
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-firepowerCVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI には、ユーザアカウント権限を拡大される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCur25483 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco ASA 5500-X Series with FirePOWER Services 4.10.3
Cisco ASA 5500-X Series with FirePOWER Services 5.2.0
Cisco ASA 5500-X Series with FirePOWER Services 5.3.0
Cisco ASA 5500-X Series with FirePOWER Services 5.3.1
Cisco ASA 5500-X Series with FirePOWER Services 5.4.0
Cisco FirePOWER Management Center 4.10.3
Cisco FirePOWER Management Center 5.2.0
Cisco FirePOWER Management Center 5.3.0
Cisco FirePOWER Management Center 5.3.1
Cisco FirePOWER Management Center 5.4.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI におけるユーザアカウント権限を拡大される脆弱性(JVNDB-2016-004413)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004413.html
Vulnerability Summary for CVE-2016-1458 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1458(27)Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI における root 権限で任意のコマンドを実行される脆弱性(CVE-2016-1457)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160817-fmc
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-fmcCVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI には、root 権限で任意のコマンドを実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCur25513 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco ASA 5500-X Series with FirePOWER Services 4.10.3.9
Cisco ASA 5500-X Series with FirePOWER Services 5.2.0
Cisco ASA 5500-X Series with FirePOWER Services 5.3.0.4
Cisco ASA 5500-X Series with FirePOWER Services 5.3.1
Cisco ASA 5500-X Series with FirePOWER Services 5.4.0
Cisco FirePOWER Management Center 4.10.3.9
Cisco FirePOWER Management Center 5.2.0
Cisco FirePOWER Management Center 5.3.0.4
Cisco FirePOWER Management Center 5.3.1
Cisco FirePOWER Management Center 5.4.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Firepower Management Center および ASA 5500-X Series with FirePOWER Services の Web ベース GUI における root 権限で任意のコマンドを実行される脆弱性(JVNDB-2016-004412)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004412.html
Vulnerability Summary for CVE-2016-1457 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1457(28)Cisco Application Policy Infrastructure Controller エンタープライズ モジュールにおける root 権限で任意のコマンドを実行される脆弱性(CVE-2016-1365)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160817-apic
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-apicCVSS による深刻度 8.5 (危険) [ NVD値 ] 概要 Cisco Application Policy Infrastructure Controller エンタープライズ モジュール (APIC-EM) の Grapevine アップデート処理には、root 権限で任意のコマンドを実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCux15507 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Application Policy Infrastructure Controller エンタープライズ モジュール 1.0
Cisco Application Policy Infrastructure Controller エンタープライズ モジュール 1.1対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Application Policy Infrastructure Controller エンタープライズ モジュールにおける root 権限で任意のコマンドを実行される脆弱性(JVNDB-2016-004411)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004411.html
Vulnerability Summary for CVE-2016-1365 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1365(29)Red Hat Enterprise Linux の squid パッケージの cachemgr.cgi の munge_other_line 関数におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2016-5408)
ベンダ情報 Red Hat Security Advisory : RHSA-2016:1573
http://rhn.redhat.com/errata/RHSA-2016-1573.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Red Hat Enterprise Linux の squid パッケージの cachemgr.cgi の munge_other_line 関数には、スタックベースのバッファオーバーフローの脆弱性が存在します。 本脆弱性は、CVE-2016-4051 に対する修正が不完全だったことに起因する問題です。 影響を受ける製品 レッドハット
Red Hat Enterprise Linux Server (v. 6)
Red Hat Enterprise Linux Workstation (v. 6)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Red Hat Enterprise Linux の squid パッケージの cachemgr.cgi の munge_other_line 関数におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2016-004397)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004397.html
Vulnerability Summary for CVE-2016-5408 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5408(30)Siemens SINEMA サーバにおける権限を取得される脆弱性(CVE-2016-6486)
ベンダ情報 Siemens Security Advisory : SSA-321174
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-321174.pdfCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Siemens SINEMA サーバは、アプリケーションフォルダに脆弱なパーミッションを使用するため、権限を取得される脆弱性が存在します。 影響を受ける製品 シーメンス
SINEMA サーバ HASH(0x8add308)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Siemens SINEMA サーバにおける権限を取得される脆弱性(JVNDB-2016-004392)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004392.html
Vulnerability Summary for CVE-2016-6486 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6486(31)libcurl における使用される接続を制御される脆弱性(CVE-2016-5421)
ベンダ情報 Debian Security Advisory : DSA-3638
https://www.debian.org/security/2016/dsa-3638
Security Advisory : use of connection struct after free
https://curl.haxx.se/docs/adv_20160803C.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 libcurl には、解放済みメモリの使用 (Use-after-free) により、使用される接続を制御されるなど、不特定の影響を受ける脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html 影響を受ける製品 cURL
libcurl 7.50.1 未満
Debian
Debian GNU/Linux 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 libcurl における使用される接続を制御される脆弱性(JVNDB-2016-004391)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004391.html
Vulnerability Summary for CVE-2016-5421 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5421(32)Linux Kernel の IPv6 スタックにおける権限を取得される脆弱性(CVE-2016-3841)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
ChangeLog : ChangeLog-4.3.3
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.3.3
GitHub : ipv6: add complete rcu protection around np->opt
https://github.com/torvalds/linux/commit/45f6fad84cc305103b28d73482b344d7f5b76f39
Linux Kernel : Linux Kernel Archives
http://www.kernel.org
Linux kernel source tree : ipv6: add complete rcu protection around np->opt
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=45f6fad84cc305103b28d73482b344d7f5b76f39CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel の IPv6 スタックは、オプションのデータを誤って処理するため、権限を取得される、またはサービス運用妨害 (解放済みメモリの使用 (use-after-free) およびシステムクラッシュ) 状態にされる脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html 影響を受ける製品 kernel.org
Linux Kernel 4.3.3 未満
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel の IPv6 スタックにおける権限を取得される脆弱性(JVNDB-2016-004372)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004372.html
Vulnerability Summary for CVE-2016-3841 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3841(33)Cisco Unified Communications Manager IM and Presence Service におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1466)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160803-ucm
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-ucmCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco Unified Communications Manager IM and Presence Service には、サービス運用妨害 (sipd プロセスのリスタート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCva39072 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Unified Communications Manager IM and Presence Service 10.5(2) SU2
Cisco Unified Communications Manager IM and Presence Service 10.5(2) SU2a
Cisco Unified Communications Manager IM and Presence Service 11.0(1) SU1
Cisco Unified Communications Manager IM and Presence Service 11.5(1)
Cisco Unified Communications Manager IM and Presence Service 9.1(1) SU6
Cisco Unified Communications Manager IM and Presence Service 9.1(1) SU6a
Cisco Unified Communications Manager IM and Presence Service 9.1(1) SU7対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Unified Communications Manager IM and Presence Service におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004341)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004341.html
Vulnerability Summary for CVE-2016-1466 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1466(34)Cisco RV180 および RV180W デバイスにおける root 権限で任意のコマンドを実行される脆弱性(CVE-2016-1430)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160803-rv180_2
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_2CVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cisco RV180 および RV180W デバイスには、root 権限で任意のコマンドを実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCuz48592 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco RV180 VPN Router ファームウェア すべてのバージョン
Cisco RV180W Wireless-N Multifunction VPN Router ファームウェア すべてのバージョン対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Cisco RV180 および RV180W デバイスにおける root 権限で任意のコマンドを実行される脆弱性(JVNDB-2016-004340)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004340.html
Vulnerability Summary for CVE-2016-1430 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1430(35)Cisco RV180 および RV180W デバイスの Web インターフェースにおけるディレクトリトラバーサルの脆弱性(CVE-2016-1429)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160803-rv180_1
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_1CVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco RV180 および RV180W デバイスの Web インターフェースには、ディレクトリトラバーサルの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCuz43023 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco RV180 VPN Router ファームウェア すべてのバージョン
Cisco RV180W Wireless-N Multifunction VPN Router ファームウェア すべてのバージョン対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Cisco RV180 および RV180W デバイスの Web インターフェースにおけるディレクトリトラバーサルの脆弱性(JVNDB-2016-004339)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004339.html
Vulnerability Summary for CVE-2016-1429 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1429(36)Cisco IOS におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1478)
ベンダ情報 Cisco Security Advisory : cisco-sa-20160804-wedge
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160804-wedgeCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco IOS は、不正な NTP パケットを適切にキューから削除しないため、サービス運用妨害 (インターフェースウェッジ) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCva35619 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco IOS 15.5(3)S3
Cisco IOS 15.6(1)S2
Cisco IOS 15.6(2)S1
Cisco IOS 15.6(2)T1
Cisco IOS XE 3.16.3S
Cisco IOS XE 3.17.2S
Cisco IOS XE 3.18.1S対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco IOS におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004313)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004313.html
Vulnerability Summary for CVE-2016-1478 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1478(37)複数の Microsoft 製品の PDF ライブラリにおける任意のコードを実行される脆弱性(CVE-2016-3319)
ベンダ情報 Microsoft Security Bulletin : MS16-096
https://technet.microsoft.com/en-us/library/security/ms16-096.aspx
Microsoft Security Bulletin : MS16-102
https://technet.microsoft.com/en-us/library/security/ms16-102.aspx
マイクロソフト セキュリティ情報 : MS16-096
https://technet.microsoft.com/ja-jp/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-102
https://technet.microsoft.com/ja-jp/library/security/ms16-102.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 複数の Microsoft 製品の PDF ライブラリには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft PDF のリモートでコードが実行される脆弱性」と記載されています。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html 影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x8b09cc0)
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x8b1c698)
Microsoft Windows Server 2012 HASH(0x8b204d0)
Microsoft Windows Server 2012 R2対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft 製品の PDF ライブラリにおける任意のコードを実行される脆弱性(JVNDB-2016-004309)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004309.html
Vulnerability Summary for CVE-2016-3319 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3319(38)Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(CVE-2016-3296)
ベンダ情報 Microsoft Security Bulletin : MS16-096
https://technet.microsoft.com/en-us/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-096
https://technet.microsoft.com/ja-jp/library/security/ms16-096.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Edge の Chakra JavaScript エンジンには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「スクリプト エンジンのメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x8b09eb0)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-004308)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004308.html
Vulnerability Summary for CVE-2016-3296 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3296(39)複数の Microsoft Windows 製品の Netlogon サービスにおける権限昇格の脆弱性(CVE-2016-3300)
ベンダ情報 Microsoft Security Bulletin : MS16-101
https://technet.microsoft.com/en-us/library/security/ms16-101.aspx
マイクロソフト セキュリティ情報 : MS16-101
https://technet.microsoft.com/ja-jp/library/security/ms16-101.aspxCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 複数の Microsoft Windows 製品の Netlogon サービスは、セキュリティで保護された通信チャネルを不適切に確立するため、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「NetLogon の特権の昇格の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x8b224e8)
Microsoft Windows Server 2012 HASH(0x8b1cbd8)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Coreインストール)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Windows 製品の Netlogon サービスにおける権限昇格の脆弱性(JVNDB-2016-004305)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004305.html
Vulnerability Summary for CVE-2016-3300 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3300(40)Microsoft Internet Explorer 11 および Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-3322)
ベンダ情報 Microsoft Security Bulletin : MS16-095
https://technet.microsoft.com/en-us/library/security/ms16-095.aspx
Microsoft Security Bulletin : MS16-096
https://technet.microsoft.com/en-us/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-095
https://technet.microsoft.com/ja-jp/library/security/ms16-095.aspx
マイクロソフト セキュリティ情報 : MS16-096
https://technet.microsoft.com/ja-jp/library/security/ms16-096.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Internet Explorer 11 および Microsoft Edge には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft ブラウザーのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3289 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x8af0c10)
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Internet Explorer 11 および Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-004300)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004300.html
Vulnerability Summary for CVE-2016-3322 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3322(41)Microsoft Internet Explorer 9 から 11 および Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-3293)
ベンダ情報 Microsoft Security Bulletin : MS16-095
https://technet.microsoft.com/en-us/library/security/ms16-095.aspx
Microsoft Security Bulletin : MS16-096
https://technet.microsoft.com/en-us/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-096
https://technet.microsoft.com/ja-jp/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-095
https://technet.microsoft.com/ja-jp/library/security/ms16-095.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Internet Explorer 9 から 11 および Microsoft Edge には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft ブラウザーのメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x8b1d3b8)
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)
Microsoft Internet Explorer 9対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Internet Explorer 9 から 11 および Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-004298)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004298.html
Vulnerability Summary for CVE-2016-3293 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3293(42)Microsoft Internet Explorer 11 における任意のコードを実行される脆弱性(CVE-2016-3290)
ベンダ情報 Microsoft Security Bulletin : MS16-095
https://technet.microsoft.com/en-us/library/security/ms16-095.aspx
マイクロソフト セキュリティ情報 : MS16-095
https://technet.microsoft.com/ja-jp/library/security/ms16-095.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Internet Explorer 11 には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Internet Explorer のメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3288 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Internet Explorer 11 における任意のコードを実行される脆弱性(JVNDB-2016-004297)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004297.html
Vulnerability Summary for CVE-2016-3290 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3290(43)Microsoft Internet Explorer 11 および Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-3289)
ベンダ情報 Microsoft Security Bulletin : MS16-095
https://technet.microsoft.com/en-us/library/security/ms16-095.aspx
Microsoft Security Bulletin : MS16-096
https://technet.microsoft.com/en-us/library/security/ms16-096.aspx
マイクロソフト セキュリティ情報 : MS16-095
https://technet.microsoft.com/ja-jp/library/security/ms16-095.aspx
マイクロソフト セキュリティ情報 : MS16-096
https://technet.microsoft.com/ja-jp/library/security/ms16-096.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Internet Explorer 11 および Microsoft Edge には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft ブラウザーのメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3322 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Edge HASH(0x8aed430)
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Internet Explorer 11 および Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-004296)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004296.html
Vulnerability Summary for CVE-2016-3289 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3289(44)Microsoft Internet Explorer 11 における任意のコードを実行される脆弱性(CVE-2016-3288)
ベンダ情報 Microsoft Security Bulletin : MS16-095
https://technet.microsoft.com/en-us/library/security/ms16-095.aspx
マイクロソフト セキュリティ情報 : MS16-095
https://technet.microsoft.com/ja-jp/library/security/ms16-095.aspxCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Microsoft Internet Explorer 11 には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Internet Explorer のメモリ破損の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3290 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Internet Explorer 11 における任意のコードを実行される脆弱性(JVNDB-2016-004295)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004295.html
Vulnerability Summary for CVE-2016-3288 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3288(45)複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(CVE-2016-3311)
ベンダ情報 Microsoft Security Bulletin : MS16-098
https://technet.microsoft.com/en-us/library/security/ms16-098.aspx
マイクロソフト セキュリティ情報 : MS16-098
https://technet.microsoft.com/ja-jp/library/security/ms16-098.aspxCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 複数の Microsoft Windows 製品のカーネルモードドライバには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3308、CVE-2016-3309、および CVE-2016-3310 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x8af0a20)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(JVNDB-2016-004294)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004294.html
Vulnerability Summary for CVE-2016-3311 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3311(46)複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(CVE-2016-3310)
ベンダ情報 Microsoft Security Bulletin : MS16-098
https://technet.microsoft.com/en-us/library/security/ms16-098.aspx
マイクロソフト セキュリティ情報 : MS16-098
https://technet.microsoft.com/ja-jp/library/security/ms16-098.aspxCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 複数の Microsoft Windows 製品のカーネルモードドライバには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3308、CVE-2016-3309、および CVE-2016-3311 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x8b13fa0)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(JVNDB-2016-004293)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004293.html
Vulnerability Summary for CVE-2016-3310 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3310(47)複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(CVE-2016-3309)
ベンダ情報 Microsoft Security Bulletin : MS16-098
https://technet.microsoft.com/en-us/library/security/ms16-098.aspx
マイクロソフト セキュリティ情報 : MS16-098
https://technet.microsoft.com/ja-jp/library/security/ms16-098.aspxCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 複数の Microsoft Windows 製品のカーネルモードドライバには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3308、CVE-2016-3310、および CVE-2016-3311 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x8b13bc0)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(JVNDB-2016-004292)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004292.html
Vulnerability Summary for CVE-2016-3309 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3309(48)複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(CVE-2016-3308)
ベンダ情報 Microsoft Security Bulletin : MS16-098
https://technet.microsoft.com/en-us/library/security/ms16-098.aspx
マイクロソフト セキュリティ情報 : MS16-098
https://technet.microsoft.com/ja-jp/library/security/ms16-098.aspxCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 複数の Microsoft Windows 製品のカーネルモードドライバには、権限を取得される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Win32k の特権の昇格の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3309、CVE-2016-3310、および CVE-2016-3311 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x8b22678)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性(JVNDB-2016-004291)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004291.html
Vulnerability Summary for CVE-2016-3308 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3308(49)複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(CVE-2016-3304)
ベンダ情報 Microsoft Security Bulletin : MS16-097
https://technet.microsoft.com/en-us/library/security/ms16-097.aspx
マイクロソフト セキュリティ情報 : MS16-097
https://technet.microsoft.com/ja-jp/library/security/ms16-097.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 複数の Microsoft 製品の Windows フォント ライブラリには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Graphics コンポーネントの RCE の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3303 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Live Meeting 2007 Console
Microsoft Lync 2010 (32ビット)
Microsoft Lync 2010 (64ビット)
Microsoft Lync 2010 Attendee (ユーザー レベル インストール)
Microsoft Lync 2010 Attendee (管理者レベル インストール)
Microsoft Lync 2013 SP1 (32 ビット) (Skype for Business)
Microsoft Lync 2013 SP1 (64ビット) (Skype for Business)
Microsoft Lync Basic 2013 SP1 (32ビット) (Skype for Business Basic)
Microsoft Lync Basic 2013 SP1 (64ビット) (Skype for Business Basic)
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
Microsoft Word Viewer
Skype for Business 2016 (32 ビット版)
Skype for Business 2016 (64ビット版)
Skype for Business Basic 2016 (32ビット版)
Skype for Business Basic 2016 (64ビット版)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(JVNDB-2016-004290)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004290.html
Vulnerability Summary for CVE-2016-3304 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3304(50)複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(CVE-2016-3303)
ベンダ情報 Microsoft Security Bulletin : MS16-097
https://technet.microsoft.com/en-us/library/security/ms16-097.aspx
マイクロソフト セキュリティ情報 : MS16-097
https://technet.microsoft.com/ja-jp/library/security/ms16-097.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 複数の Microsoft 製品の Windows フォント ライブラリには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Graphics コンポーネントの RCE の脆弱性」と記載されています。 本脆弱性は、CVE-2016-3304 とは異なる脆弱性です。 影響を受ける製品 マイクロソフト
Microsoft Live Meeting 2007 Console
Microsoft Lync 2010 (32ビット)
Microsoft Lync 2010 (64ビット)
Microsoft Lync 2010 Attendee (ユーザー レベル インストール)
Microsoft Lync 2010 Attendee (管理者レベル インストール)
Microsoft Lync 2013 SP1 (32 ビット) (Skype for Business)
Microsoft Lync 2013 SP1 (64ビット) (Skype for Business)
Microsoft Lync Basic 2013 SP1 (32ビット) (Skype for Business Basic)
Microsoft Lync Basic 2013 SP1 (64ビット) (Skype for Business Basic)
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
Microsoft Word Viewer
Skype for Business 2016 (32 ビット版)
Skype for Business 2016 (64ビット版)
Skype for Business Basic 2016 (32ビット版)
Skype for Business Basic 2016 (64ビット版)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(JVNDB-2016-004289)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004289.html
Vulnerability Summary for CVE-2016-3303 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3303(51)複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(CVE-2016-3301)
ベンダ情報 Microsoft Security Bulletin : MS16-097
https://technet.microsoft.com/en-us/library/security/ms16-097.aspx
マイクロソフト セキュリティ情報 : MS16-097
https://technet.microsoft.com/ja-jp/library/security/ms16-097.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 複数の Microsoft 製品の Windows フォント ライブラリには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Windows Graphics コンポーネントの RCE の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Live Meeting 2007 Console
Microsoft Lync 2010 (32ビット)
Microsoft Lync 2010 (64ビット)
Microsoft Lync 2010 Attendee (ユーザー レベル インストール)
Microsoft Lync 2010 Attendee (管理者レベル インストール)
Microsoft Lync 2013 SP1 (32 ビット) (Skype for Business)
Microsoft Lync 2013 SP1 (64ビット) (Skype for Business)
Microsoft Lync Basic 2013 SP1 (32ビット) (Skype for Business Basic)
Microsoft Lync Basic 2013 SP1 (64ビット) (Skype for Business Basic)
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1 HASH(0x8b16ec8)
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Server 2012 HASH(0x8b1d458)
Microsoft Windows Server 2012 (Server Core インストール)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2
Microsoft Word Viewer
Skype for Business 2016 (32 ビット版)
Skype for Business 2016 (64ビット版)
Skype for Business Basic 2016 (32ビット版)
Skype for Business Basic 2016 (64ビット版)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft 製品の Windows フォント ライブラリにおける任意のコードを実行される脆弱性(JVNDB-2016-004288)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004288.html
Vulnerability Summary for CVE-2016-3301 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3301(52)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-3318)
ベンダ情報 Microsoft Security Bulletin : MS16-099
https://technet.microsoft.com/en-us/library/security/ms16-099.aspx
マイクロソフト セキュリティ情報 : MS16-099
https://technet.microsoft.com/ja-jp/library/security/ms16-099.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Microsoft Office 2007、2010、2013、および 2013 RT には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Graphics コンポーネントのメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 (32 ビット版)
Microsoft Office 2013 SP1 (64 ビット版)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Office 製品における任意のコードを実行される脆弱性(JVNDB-2016-004287)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004287.html
Vulnerability Summary for CVE-2016-3318 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3318(53)Microsoft Office 2010 および複数の Word 製品における任意のコードを実行される脆弱性(CVE-2016-3317)
ベンダ情報 Microsoft Security Bulletin : MS16-099
https://technet.microsoft.com/en-us/library/security/ms16-099.aspx
マイクロソフト セキュリティ情報 : MS16-099
https://technet.microsoft.com/ja-jp/library/security/ms16-099.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Microsoft Office 2010 および複数の Word 製品には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2 (32 ビット版)
Microsoft Word 2010 SP2 (64 ビット版)
Microsoft Word 2016 for Mac
Microsoft Word for Mac 2011
Microsoft Word Viewer対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Office 2010 および複数の Word 製品における任意のコードを実行される脆弱性(JVNDB-2016-004286)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004286.html
Vulnerability Summary for CVE-2016-3317 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3317(54)Microsoft Word 2013 および 2016 における任意のコードを実行される脆弱性(CVE-2016-3316)
ベンダ情報 Microsoft Security Bulletin : MS16-099
https://technet.microsoft.com/en-us/library/security/ms16-099.aspx
マイクロソフト セキュリティ情報 : MS16-099
https://technet.microsoft.com/ja-jp/library/security/ms16-099.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Microsoft Word 2013 および 2016 には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Word 2013 RT SP1
Microsoft Word 2013 SP1 (32 ビット版)
Microsoft Word 2013 SP1 (64 ビット版)
Microsoft Word 2016 (32 ビット版)
Microsoft Word 2016 (64 ビット版)
Microsoft Word 2016 for Mac対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Microsoft Word 2013 および 2016 における任意のコードを実行される脆弱性(JVNDB-2016-004285)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004285.html
Vulnerability Summary for CVE-2016-3316 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3316(55)複数の Microsoft Office および Word 製品における任意のコードを実行される脆弱性(CVE-2016-3313)
ベンダ情報 Microsoft Security Bulletin : MS16-099
https://technet.microsoft.com/en-us/library/security/ms16-099.aspx
マイクロソフト セキュリティ情報 : MS16-099
https://technet.microsoft.com/ja-jp/library/security/ms16-099.aspxCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 複数の Microsoft Office および Word 製品には、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリ破損の脆弱性」と記載されています。 影響を受ける製品 マイクロソフト
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 (32 ビット版)
Microsoft Office 2013 SP1 (64 ビット版)
Microsoft Office 2016 (32 ビット版)
Microsoft Office 2016 (64 ビット版)
Microsoft Word 2016 for Mac
Microsoft Word Viewer対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 複数の Microsoft Office および Word 製品における任意のコードを実行される脆弱性(JVNDB-2016-004283)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004283.html
Vulnerability Summary for CVE-2016-3313 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3313(56)Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel における権限を取得される脆弱性(CVE-2014-9888)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : ARM: dma-mapping: don't allow DMA mappings to be marked executable
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=f044936caab337a4384fbfe64a4cbae33c7e22a1
GitHub : ARM: dma-mapping: don't allow DMA mappings to be marked executable
https://github.com/torvalds/linux/commit/0ea1ec713f04bdfac343c9702b21cd3a7c711826
Linux Kernel : Linux Kernel Archives
http://www.kernel.org/
Linux kernel source tree : ARM: dma-mapping: don't allow DMA mappings to be marked executable
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=0ea1ec713f04bdfac343c9702b21cd3a7c711826CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel の arch/arm/mm/dma-mapping.c は、実行可能な DMA マッピングを制限しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28803642 および Qualcomm internal bug CR642735 として公開しています。 影響を受ける製品 kernel.org
Linux Kernel 3.13 未満
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel における権限を取得される脆弱性(JVNDB-2016-004278)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004278.html
Vulnerability Summary for CVE-2014-9888 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9888(57)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-5146)
ベンダ情報 Chromium : Issue 633486
https://bugs.chromium.org/p/chromium/issues/detail?id=633486&desc=2
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Stable Channel Update
http://googlechromereleases.blogspot.jp/2016/08/stable-channel-update-for-desktop.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Google Chrome には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。 影響を受ける製品
Google Chrome 52.0.2743.116 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004277)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004277.html
Vulnerability Summary for CVE-2016-5146 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5146(58)Google Chrome で使用される Blink の Developer Tools サブシステムにおけるアクセス制限を回避される脆弱性(CVE-2016-5144)
ベンダ情報 Chromium Code Reviews : Issue 2065823004
https://codereview.chromium.org/2065823004
Google : Stable Channel Update for Desktop
http://googlechromereleases.blogspot.com/2016/08/stable-channel-update-for-desktop.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Google Chrome で使用される Blink の Developer Tools (別名 DevTools) サブシステムは、スクリプトパスのホスト名、remoteBase パラメータ、および remoteFrontendUrl パラメータを誤って処理するため、アクセス制限を回避される脆弱性が存在します。 本脆弱性は、CVE-2016-5143 とは異なる脆弱性です。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html 影響を受ける製品
Google Chrome 52.0.2743.116 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Google Chrome で使用される Blink の Developer Tools サブシステムにおけるアクセス制限を回避される脆弱性(JVNDB-2016-004275)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004275.html
Vulnerability Summary for CVE-2016-5144 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5144(59)Google Chrome で使用される Blink の Developer Tools サブシステムにおけるアクセス制限を回避される脆弱性(CVE-2016-5143)
ベンダ情報 Chromium Code Reviews : Issue 2065823004
https://codereview.chromium.org/2065823004
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Stable Channel Update for Desktop
http://googlechromereleases.blogspot.jp/2016/08/stable-channel-update-for-desktop.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Google Chrome で使用される Blink の Developer Tools (別名 DevTools) サブシステムは、スクリプトパスのホスト名、remoteBase パラメータ、および remoteFrontendUrl パラメータを誤って処理するため、アクセス制限を回避される脆弱性が存在します。 本脆弱性は、CVE-2016-5144 とは異なる脆弱性です。 影響を受ける製品
Google Chrome 52.0.2743.116 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Google Chrome で使用される Blink の Developer Tools サブシステムにおけるアクセス制限を回避される脆弱性(JVNDB-2016-004274)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004274.html
Vulnerability Summary for CVE-2016-5143 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5143(60)Google Chrome で使用される Blink の Web Cryptography API の実装におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-5142)
ベンダ情報 Chromium Code Reviews : Issue 2141843002
https://codereview.chromium.org/2141843002/
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Stable Channel Update for Desktop
http://googlechromereleases.blogspot.jp/2016/08/stable-channel-update-for-desktop.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Google Chrome で使用される Blink の Web Cryptography API (別名 WebCrypto) の実装は、データバッファを適切にコピーしないため、サービス運用妨害 (解放済みメモリの使用 (use-after-free)) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html 影響を受ける製品
Google Chrome 52.0.2743.116 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Google Chrome で使用される Blink の Web Cryptography API の実装におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004273)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004273.html
Vulnerability Summary for CVE-2016-5142 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5142(61)Google Chrome の PDFium で使用される OpenJPEG の j2k.c におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-5140)
ベンダ情報 Chromium Code Reviews : Issue 2071773002
https://codereview.chromium.org/2071773002
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Stable Channel Update for Desktop
http://googlechromereleases.blogspot.jp/2016/08/stable-channel-update-for-desktop.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Google Chrome の PDFium で使用される OpenJPEG の j2k.c の opj_j2k_read_SQcd_SQcc 関数には、ヒープベースのバッファオーバーフローの脆弱性が存在します。 影響を受ける製品
Google Chrome 52.0.2743.116 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Google Chrome の PDFium で使用される OpenJPEG の j2k.c におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2016-004271)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004271.html
Vulnerability Summary for CVE-2016-5140 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5140(62)Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/pproc/cpp/msm_cpp.c における権限を取得される脆弱性(CVE-2015-8942)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm: cpp: Update iommu handling
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=9ec380c06bbd79493828fcc3c876d8a53fd3369fCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/pproc/cpp/msm_cpp.c は、ストリームの状態を検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28814652 および Qualcomm internal bug CR803246 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/pproc/cpp/msm_cpp.c における権限を取得される脆弱性(JVNDB-2016-004268)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004268.html
Vulnerability Summary for CVE-2015-8942 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8942(63)Nexus 6 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(CVE-2015-8941)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm:camera:isp: fix array index bound checks
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=d4d4d1dd626b21e68e78395bab3382c1eb04877fCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 6 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/isp/msm_isp_axi_util.c は、配列のインデックスを適切に検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28814502 および Qualcomm internal bug CR792473 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 6 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(JVNDB-2016-004267)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004267.html
Vulnerability Summary for CVE-2015-8941 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8941(64)Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントにおける整数オーバーフローの脆弱性(CVE-2015-8940)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : ASoC: q6lsm: Add check for integer overflow
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=e13ebd727d161db7003be6756e61283dce85fa3bCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの sound/soc/msm/qdsp6v2/q6lsm.c には、整数オーバーフローの脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28813987 および Qualcomm internal bug CR792367 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントにおける整数オーバーフローの脆弱性(JVNDB-2016-004266)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004266.html
Vulnerability Summary for CVE-2015-8940 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8940(65)Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(CVE-2015-8939)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm_fb: display: validate input args of mdp4_argc_process_write_req
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=884cff808385788fa620833c7e2160a4b98a21daCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/video/msm/mdp4_util.c は、r ステージ、g ステージ、または b ステージのデータを検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28398884 および Qualcomm internal bug CR779021 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(JVNDB-2016-004265)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004265.html
Vulnerability Summary for CVE-2015-8939 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8939(66)Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの MSM カメラドライバにおける権限を取得される脆弱性(CVE-2015-8938)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm: camera: isp: Validate input parameter for vfe_write and vfe_read
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=51c39420e3a49d1a7f05a77c64369b7623088238CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの MSM カメラドライバは、入力パラメータを検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28804030 および Qualcomm internal bug CR766022 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 6 デバイス上で稼動する Android の Qualcomm コンポーネントの MSM カメラドライバにおける権限を取得される脆弱性(JVNDB-2016-004264)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004264.html
Vulnerability Summary for CVE-2015-8938 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8938(67)Nexus 5 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c における権限を取得される脆弱性(CVE-2014-9891)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : qseecom: Copy userspace buffer into kernel space before dereferencing
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=c10f03f191307f7114af89933f2d91b830150094CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c は、特定のバッファのアドレスを検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28749283 および Qualcomm internal bug CR550061 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c における権限を取得される脆弱性(JVNDB-2016-004259)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004259.html
Vulnerability Summary for CVE-2014-9891 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9891(68)Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(CVE-2014-9890)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm: camera: Update CCI WR comamnd buffer size to 11 bytes
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=14e0c8614d2715589583d8a95e33c422d110eb6fCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/sensor/cci/msm_cci.c には、一つずれエラー (Off-by-One error) により、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28770207 および Qualcomm internal bug CR529177 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(JVNDB-2016-004258)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004258.html
Vulnerability Summary for CVE-2014-9890 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9890(69)Nexus 7 (2013) デバイス上で稼動する Android のカーネルにおける権限を取得される脆弱性(CVE-2016-3857)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 7 (2013) デバイス上で稼動する Android のカーネルには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28522518 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 7 (2013) デバイス上で稼動する Android のカーネルにおける権限を取得される脆弱性(JVNDB-2016-004257)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004257.html
Vulnerability Summary for CVE-2016-3857 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3857(70)Nexus 9 デバイス上で稼動する Android の NVIDIA メディアドライバにおける権限を取得される脆弱性(CVE-2016-3848)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Nexus 9 デバイス上で稼動する Android の NVIDIA メディアドライバには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28919417 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 9 デバイス上で稼動する Android の NVIDIA メディアドライバにおける権限を取得される脆弱性(JVNDB-2016-004256)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004256.html
Vulnerability Summary for CVE-2016-3848 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3848(71)Nexus 5X および 6P デバイス上で稼動する Android の Serial Peripheral Interface ドライバにおける権限を取得される脆弱性(CVE-2016-3846)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.6 (危険) [ NVD値 ] 概要 Nexus 5X および 6P デバイス上で稼動する Android の Serial Peripheral Interface ドライバには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28817378 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5X および 6P デバイス上で稼動する Android の Serial Peripheral Interface ドライバにおける権限を取得される脆弱性(JVNDB-2016-004255)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004255.html
Vulnerability Summary for CVE-2016-3846 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3846(72)Nexus 9 および Pixel C デバイス上で稼動する Android のメディアサーバにおける権限を取得される脆弱性(CVE-2016-3844)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 9 および Pixel C デバイス上で稼動する Android のメディアサーバには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28299517 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 9 および Pixel C デバイス上で稼動する Android のメディアサーバにおける権限を取得される脆弱性(JVNDB-2016-004254)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004254.html
Vulnerability Summary for CVE-2016-3844 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3844(73)Android における権限を取得される脆弱性(CVE-2016-3843)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android は、カーネルのコンテキスト内でのコードの実行を適切に制限しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28086229、29119870、および Qualcomm internal bug CR1011071 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android における権限を取得される脆弱性(JVNDB-2016-004253)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004253.html
Vulnerability Summary for CVE-2016-3843 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3843(74)Nexus 5X、6、6P デバイス上で稼動する Android の Qualcomm GPU ドライバにおける権限を取得される脆弱性(CVE-2016-3842)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5X、6、6P デバイス上で稼動する Android の Qualcomm GPU ドライバには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28377352 および Qualcomm internal bug CR1002974 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5X、6、6P デバイス上で稼動する Android の Qualcomm GPU ドライバにおける権限を取得される脆弱性(JVNDB-2016-004252)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004252.html
Vulnerability Summary for CVE-2016-3842 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3842(75)Android の Shell コンポーネントにおけるアクセス制限を回避される脆弱性(CVE-2016-3833)
ベンダ情報 Android : Reduce shell power over user management.
https://android.googlesource.com/platform/frameworks/base/+/01875b0274e74f97edf6b0d5c92de822e0555d03
Android : Add pm operation to set user restrictions.
https://android.googlesource.com/platform/frameworks/base/+/4e4743a354e26467318b437892a9980eb9b8328a
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android の Shell コンポーネントは、MANAGE_USERS および CREATE_USERS パーミッションを適切に管理しないため、アクセス制限を回避される脆弱性が存在します。 ベンダは、本脆弱性を Bug 29189712 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android の Shell コンポーネントにおけるアクセス制限を回避される脆弱性(JVNDB-2016-004250)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004250.html
Vulnerability Summary for CVE-2016-3833 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3833(76)Android のフレームワーク API における不特定の保護メカニズムを回避される脆弱性(CVE-2016-3832)
ベンダ情報 Android : Don't trust callers to supply app info to bindBackupAgent()
https://android.googlesource.com/platform/frameworks/base/+/e7cf91a198de995c7440b3b64352effd2e309906
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 8.3 (危険) [ NVD値 ] 概要 Android のフレームワーク API は、Package Manager から発生したパッケージデータを確認しないため、不特定の保護メカニズムを回避される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28795098 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のフレームワーク API における不特定の保護メカニズムを回避される脆弱性(JVNDB-2016-004249)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004249.html
Vulnerability Summary for CVE-2016-3832 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3832(77)Android のメディアサーバの libstagefright の codecs/aacdec/SoftAAC2.cpp におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-3830)
ベンダ情報 Android : SoftAAC2: fix crash on all-zero adts buffer
https://android.googlesource.com/platform/frameworks/av/+/8e438e153f661e9df8db0ac41d587e940352df06
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 Android のメディアサーバの libstagefright の codecs/aacdec/SoftAAC2.cpp には、サービス運用妨害 (デバイスハングまたはリブート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 29153599 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの libstagefright の codecs/aacdec/SoftAAC2.cpp におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004247)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004247.html
Vulnerability Summary for CVE-2016-3830 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3830(78)Android のメディアサーバの ih264d デコーダにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-3829)
ベンダ情報 Android : Decoder: Initialize first_pb_nal_in_pic for error slices
https://android.googlesource.com/platform/external/libavc/+/326fe991a4b7971e8aeaf4ac775491dd8abd85bb
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 Android のメディアサーバの ih264d デコーダは、特定の構造体のメンバを適切に初期化しないため、サービス運用妨害 (デバイスハングまたはリブート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 29023649 として公開しています。 補足情報 : CWE による脆弱性タイプは、CWE-172: Encoding Error (エンコーディングエラー) と識別されています。 http://cwe.mitre.org/data/definitions/172.html 影響を受ける製品
Android 2016-08-01 より前の 6.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの ih264d デコーダにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004246)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004246.html
Vulnerability Summary for CVE-2016-3829 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3829(79)Android のメディアサーバの decoder/ih264d_api.c におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-3828)
ベンダ情報 Android : Decoder: Do not conceal slices with invalid SPS/PPS
https://android.googlesource.com/platform/external/libavc/+/7554755536019e439433c515eeb44e701fb3bfb2
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 Android のメディアサーバの decoder/ih264d_api.c は、不正な PPS および SPS NAL ユニットを誤って処理するため、サービス運用妨害 (デバイスハングまたはリブート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 28835995 として公開しています。 補足情報 : CWE による脆弱性タイプは、CWE-172: Encoding Error (エンコーディングエラー) と識別されています。 http://cwe.mitre.org/data/definitions/172.html 影響を受ける製品
Android 2016-08-01 より前の 6.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの decoder/ih264d_api.c におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004245)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004245.html
Vulnerability Summary for CVE-2016-3828 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3828(80)Android のメディアサーバの libstagefright の codecs/hevcdec/SoftHEVC.cpp におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-3827)
ベンダ情報 Android : SoftHEVC: Exit gracefully in case of decoder errors
https://android.googlesource.com/platform/frameworks/av/+/a4567c66f4764442c6cb7b5c1858810194480fb5
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 Android のメディアサーバの libstagefright の codecs/hevcdec/SoftHEVC.cpp は、デコーダのエラーを誤って処理するため、サービス運用妨害 (デバイスハングまたはリブート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 28816956 として公開しています。 補足情報 : CWE による脆弱性タイプは、CWE-172: Encoding Error (エンコーディングエラー) と識別されています。 http://cwe.mitre.org/data/definitions/172.html 影響を受ける製品
Android 2016-08-01 より前の 6.0.1対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの libstagefright の codecs/hevcdec/SoftHEVC.cpp におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004244)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004244.html
Vulnerability Summary for CVE-2016-3827 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3827(81)Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c における権限を取得される脆弱性(CVE-2014-9887)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : qseecom: Validate pointer offset in qseecom_send_modfd_cmd
https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=b1bc773cf61265e0e3871b2e52bd6b3270ffc6c3CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c は、特定の length 値を検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28804057 および Qualcomm internal bug CR636633 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/misc/qseecom.c における権限を取得される脆弱性(JVNDB-2016-004243)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004243.html
Vulnerability Summary for CVE-2014-9887 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9887(82)Nexus 5X デバイス上で稼動する Android の LG Electronics ブートローダにおける権限を取得される脆弱性(CVE-2016-3851)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5X デバイス上で稼動する Android の LG Electronics ブートローダには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 29189941 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5X デバイス上で稼動する Android の LG Electronics ブートローダにおける権限を取得される脆弱性(JVNDB-2016-004235)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004235.html
Vulnerability Summary for CVE-2016-3851 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3851(83)Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおけるバッファオーバーフローの脆弱性(CVE-2014-9871)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm: camera: Fix potential memory overflow errors
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=f615e40c706708f74cd826d5b19c63025f54c041CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/isp/msm_isp_util.c には、バッファオーバーフローの脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28749803 および Qualcomm internal bug CR514717 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおけるバッファオーバーフローの脆弱性(JVNDB-2016-004215)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004215.html
Vulnerability Summary for CVE-2014-9871 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9871(84)Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel における権限を取得される脆弱性(CVE-2014-9870)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : ARM: 7735/2: Preserve the user r/w register TPIDRURW on context switch and fork
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=4f57652fcd2dce7741f1ac6dc0417e2f265cd1de
GitHub : ARM: 7735/2: Preserve the user r/w register TPIDRURW on context switch and fork
https://github.com/torvalds/linux/commit/a4780adeefd042482f624f5e0d577bf9cdcbb760
Linux Kernel : Linux Kernel Archives
http://www.kernel.org
Linux kernel source tree : ARM: 7735/2: Preserve the user r/w register TPIDRURW on context switch and fork
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=a4780adeefd042482f624f5e0d577bf9cdcbb760CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel は、TPIDRURW レジスタへのユーザ空間のアクセスを考慮しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Qualcomm internal bug CR561044 として公開しています。 影響を受ける製品 kernel.org
Linux Kernel 3.11 未満
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android で使用される ARM プラットフォームの Linux Kernel における権限を取得される脆弱性(JVNDB-2016-004214)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004214.html
Vulnerability Summary for CVE-2014-9870 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9870(85)Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(CVE-2014-9869)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : msm: camera: isp: Bound check for number stats registers
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=7a26934e4196b4aa61944081989189d59b108768
Code Aurora Forum : msm: camera: Check stats index MAX in ISP driver
https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=8d1f7531ff379befc129a6447642061e87562bcaCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントの drivers/media/platform/msm/camera_v2/isp/msm_isp_stats_util.c は、特定の index 値を検証しないため、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28749728 および Qualcomm internal bug CR514711 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 および 7 (2013) デバイス上で稼動する Android の Qualcomm コンポーネントにおける権限を取得される脆弱性(JVNDB-2016-004213)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004213.html
Vulnerability Summary for CVE-2014-9869 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9869(86)Android の Conscrypt における任意のコードを実行される脆弱性(CVE-2016-3840)
ベンダ情報 Android : Use SSL_session_reused to check when a session was reused
https://android.googlesource.com/platform/external/conscrypt/+/5af5e93463f4333187e7e35f3bd2b846654aa214
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 10 (危険) [ NVD値 ] 概要 Android の Conscrypt は、セッションの再使用を適切に識別しないため、任意のコードを実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28751153 として公開しています。 影響を受ける製品
Android 2016-08-05 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android の Conscrypt における任意のコードを実行される脆弱性(JVNDB-2016-004204)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004204.html
Vulnerability Summary for CVE-2016-3840 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3840(87)Android の libjhead で使用される Matthias Wandel jhead の exif.c における任意のコードを実行される脆弱性(CVE-2016-3822)
ベンダ情報 Android : Fix possible out of bounds access
https://android.googlesource.com/platform/external/jhead/+/bae671597d47b9e5955c4cb742e468cebfd7ca6b
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android の libjhead で使用される Matthias Wandel jhead の exif.c には、任意のコードを実行される、またはサービス運用妨害 (境界外アクセス) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 28868315 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android の libjhead で使用される Matthias Wandel jhead の exif.c における任意のコードを実行される脆弱性(JVNDB-2016-004197)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004197.html
Vulnerability Summary for CVE-2016-3822 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3822(88)Android のフレームワーク API におけるインテントフィルターのプライオリティを高くされる脆弱性(CVE-2016-2497)
ベンダ情報 Android : DO NOT MERGE Fix intent filter priorities
https://android.googlesource.com/platform/frameworks/base/+/a75537b496e9df71c74c1d045ba5569631a16298
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android のフレームワーク API の services/core/java/com/android/server/pm/PackageManagerService.java には、インテントフィルター (intent-filter) のプライオリティを高くされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 27450489 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のフレームワーク API におけるインテントフィルターのプライオリティを高くされる脆弱性(JVNDB-2016-004196)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004196.html
Vulnerability Summary for CVE-2016-2497 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2497(89)Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバにおけるバッファオーバーフローの脆弱性(CVE-2014-9902)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : Fix the buffer overflow issue observed in static code analysis.
https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=3b1c44a3a7129dc25abe2c23543f6f66c59e8f50CVSS による深刻度 10 (危険) [ NVD値 ] 概要 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバの CORE/SYS/legacy/src/utils/src/dot11f.c には、バッファオーバーフローの脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28668638、Qualcomm internal bug CR553937 および CR553941 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバにおけるバッファオーバーフローの脆弱性(JVNDB-2016-004195)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004195.html
Vulnerability Summary for CVE-2014-9902 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9902(90)Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2014-9901)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.html
Code Aurora Forum : wlan: Replace snprintf with scnprintf
https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=637f0f7931dd7265ac1c250dc2884d6389c66bdeCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバは、不正な snprintf コールを実行するため、サービス運用妨害 (デバイスハングまたはリブート) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Android internal bug 28670333 および Qualcomm internal bug CR548711 として公開しています。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 7 (2013) デバイス上で稼動する Android の Qualcomm Wi-Fi ドライバにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-004194)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004194.html
Vulnerability Summary for CVE-2014-9901 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9901(91)Nexus 5 デバイス上で稼働する Android のカーネルのビデオドライバにおける権限を取得される脆弱性(CVE-2016-3845)
ベンダ情報 Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Nexus 5 デバイス上で稼働する Android のカーネルのビデオドライバには、権限を取得される脆弱性が存在します。 ベンダは、本脆弱性を Bug 28399876 として公開しています。 影響を受ける製品
Android 2016-08-05 より前対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Nexus 5 デバイス上で稼働する Android のカーネルのビデオドライバにおける権限を取得される脆弱性(JVNDB-2016-004185)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004185.html
Vulnerability Summary for CVE-2016-3845 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3845(92)Android のメディアサーバの libmedia における任意のコードを実行される脆弱性(CVE-2016-3821)
ベンダ情報 Android : Don't use sp<>&
https://android.googlesource.com/platform/frameworks/av/+/42a25c46b844518ff0d0b920c20c519e1417be69
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android のメディアサーバの libmedia は、特定の不正な宣言を持つため、任意のコードを実行される、またはサービス運用妨害 (NULL ポインタデリファレンスまたはメモリ破損) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 28166152 として公開しています。 補足情報 : CWE による脆弱性タイプは、CWE-476: NULL Pointer Dereference (NULL ポインタデリファレンス) と識別されています。 http://cwe.mitre.org/data/definitions/476.html 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの libmedia における任意のコードを実行される脆弱性(JVNDB-2016-004181)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004181.html
Vulnerability Summary for CVE-2016-3821 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3821(93)Android のメディアサーバの ih264d デコーダにおける任意のコードを実行される脆弱性(CVE-2016-3820)
ベンダ情報 Android : Decoder: Fix slice number increment for error clips
https://android.googlesource.com/platform/external/libavc/+/a78887bcffbc2995cf9ed72e0697acf560875e9e
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android のメディアサーバの ih264d デコーダは、スライス番号を誤って処理するため、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。 ベンダは、本脆弱性を Bug 28673410 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの ih264d デコーダにおける任意のコードを実行される脆弱性(JVNDB-2016-004180)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004180.html
Vulnerability Summary for CVE-2016-3820 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3820(94)Android のメディアサーバの libstagefright の codecs/on2/h264dec/source/h264bsd_dpb.c における整数オーバーフローの脆弱性(CVE-2016-3819)
ベンダ情報 Android : Fix potential overflow
https://android.googlesource.com/platform/frameworks/av/+/590d1729883f700ab905cdc9ad850f3ddd7e1f56
Android Open Source Project : Android Security Bulletin-August 2016
http://source.android.com/security/bulletin/2016-08-01.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android のメディアサーバの libstagefright の codecs/on2/h264dec/source/h264bsd_dpb.c には、整数オーバーフローの脆弱性が存在します。 ベンダは、本脆弱性を Bug 28533562 として公開しています。 影響を受ける製品
Android 2016-08-01 より前の 6.x
Android 4.4.4 未満の 4.x
Android 5.0.2 未満の 5.0.x
Android 5.1.1 未満の 5.1.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアサーバの libstagefright の codecs/on2/h264dec/source/h264bsd_dpb.c における整数オーバーフローの脆弱性(JVNDB-2016-004179)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004179.html
Vulnerability Summary for CVE-2016-3819 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3819(95)Mozilla Firefox の WebSockets サブシステムの WebSocketChannel クラスにおける整数オーバーフローの脆弱性(CVE-2016-5261)
ベンダ情報 Mozilla Foundation Security Advisory : MFSA2016-75
http://www.mozilla.org/security/announce/2016/mfsa2016-75.html
Mozilla Foundation セキュリティアドバイザリ : MFSA2016-75
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-75.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Mozilla Firefox の WebSockets サブシステムの WebSocketChannel クラスには、整数オーバーフローの脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-190: Integer Overflow or Wraparound (整数オーバーフローまたはラップアラウンド) と識別されています。 http://cwe.mitre.org/data/definitions/190.html 影響を受ける製品 Mozilla Foundation
Mozilla Firefox 48.0 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Mozilla Firefox の WebSockets サブシステムの WebSocketChannel クラスにおける整数オーバーフローの脆弱性(JVNDB-2016-004152)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004152.html
Vulnerability Summary for CVE-2016-5261 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5261(96)Mozilla Firefox の nsXULPopupManager::KeyDown 関数における任意のコードを実行される脆弱性(CVE-2016-5254)
ベンダ情報 Mozilla Foundation Security Advisory : MFSA2016-70
http://www.mozilla.org/security/announce/2016/mfsa2016-70.html
Mozilla Foundation セキュリティアドバイザリ : MFSA2016-70
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-70.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Mozilla Firefox の nsXULPopupManager::KeyDown 関数には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される、またはサービス運用妨害 (ヒープメモリ破損およびアプリケーションクラッシュ) 状態にされる脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html 影響を受ける製品 Mozilla Foundation
Mozilla Firefox 48.0 未満
Mozilla Firefox ESR 45.3 未満の 45.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Mozilla Firefox の nsXULPopupManager::KeyDown 関数における任意のコードを実行される脆弱性(JVNDB-2016-004147)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004147.html
Vulnerability Summary for CVE-2016-5254 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5254(97)Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおけるアクセス権を取得される脆弱性(CVE-2016-5670)
ベンダ情報 Crestron Electronics : Resource Library
http://www.crestron.com/resources/resource-library/firmware
Crestron Electronics : DM-TXRX-100-STR
https://www.crestron.com/downloads/pdf/spec_sheets/commercial_and_residential/dm-txrx-100-str.pdfCVSS による深刻度 10 (危険) [ NVD値 ] 概要 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアは、admin アカウントにハードコードされた admin のパスワードを使用するため、アクセス権を取得される脆弱性が存在します。 影響を受ける製品 Crestron Electronics, Inc.
DM-TXRX-100-STR HASH(0x8b22158)
DM-TXRX-100-STR ファームウェア 1.3039.00040 未満対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおけるアクセス権を取得される脆弱性(JVNDB-2016-004131)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004131.html
Vulnerability Summary for CVE-2016-5670 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5670(98)Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおける認証を回避される脆弱性(CVE-2016-5668)
ベンダ情報 Crestron Electronics : DM-TXRX-100-STR
https://www.crestron.com/downloads/pdf/spec_sheets/commercial_and_residential/dm-txrx-100-str.pdf
Crestron Electronics : Resource Library
http://www.crestron.com/resources/resource-library/firmwareCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアには、認証を回避され、設定を変更される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-306: Missing Authentication for Critical Function (重要な機能に対する認証の欠如) と識別されています。 http://cwe.mitre.org/data/definitions/306.html 影響を受ける製品 Crestron Electronics, Inc.
DM-TXRX-100-STR HASH(0x8b1ac90)
DM-TXRX-100-STR ファームウェア 1.3039.00040 未満対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおける認証を回避される脆弱性(JVNDB-2016-004129)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004129.html
Vulnerability Summary for CVE-2016-5668 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5668(99)Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおける認証を回避される脆弱性(CVE-2016-5667)
ベンダ情報 Crestron Electronics : Resource Library
http://www.crestron.com/resources/resource-library/firmware
Crestron Electronics : DM-TXRX-100-STR
https://www.crestron.com/downloads/pdf/spec_sheets/commercial_and_residential/dm-txrx-100-str.pdfCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアには、認証を回避される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-425: Direct Request (閲覧の強制) と識別されています。 http://cwe.mitre.org/data/definitions/425.html 影響を受ける製品 Crestron Electronics, Inc.
DM-TXRX-100-STR HASH(0x88a2c80)
DM-TXRX-100-STR ファームウェア 1.3039.00040 未満対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Crestron Electronics DM-TXRX-100-STR デバイスのファームウェアにおける認証を回避される脆弱性(JVNDB-2016-004128)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004128.html
Vulnerability Summary for CVE-2016-5667 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5667(100)Crestron AirMedia AM-100 デバイスのファームウェアの cgi-bin/rftest.cgi におけるディレクトリトラバーサルの脆弱性(CVE-2016-5640)
ベンダ情報 Crestron Electronics : AirMedia Presentation Gateway AM-100
http://www.crestron.com/products/model/AM-100CVSS による深刻度 10 (危険) [ NVD値 ] 概要 Crestron AirMedia AM-100 デバイスのファームウェアの cgi-bin/rftest.cgi には、ディレクトリトラバーサルの脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション) と識別されています。 http://cwe.mitre.org/data/definitions/77.html 影響を受ける製品 Crestron Electronics, Inc.
AirMedia AM-100 HASH(0x8b5feb0)
AirMedia AM-100 ファームウェア 1.4.0.13 未満対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Crestron AirMedia AM-100 デバイスのファームウェアの cgi-bin/rftest.cgi におけるディレクトリトラバーサルの脆弱性(JVNDB-2016-004126)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004126.html
Vulnerability Summary for CVE-2016-5640 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5640
本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度(JVN iPedia)
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3
CVSS でぜい弱性を評価してみよう(ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database(NVD)
http://nvd.nist.gov/home.cfm
上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。 また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。 業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。 まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、 最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
検索
Japan