CVE

注目の脆弱性：Advantech WebAccess/SCADA で発見された 2 件の脆弱性

Cisco Talos は最近、Advantech WebAccess/SCADA ソフトウェアパッケージに 2 件の脆弱性を発見しました。これらの脆弱性がエクスプロイトされると、機密情報が開示されたり、標的となったシステムで攻撃者の権限が昇格される危険性があります。このソフトウェアパッケージは HTML-5 に基づいており、IoT デバイスや運用テクノロジーデバイスのデータの可視化と監視制御を実行できます。

続きを読む

注目の脆弱性：Accusoft ImageGear で任意コードを実行される脆弱性を発見

Accusoft ImageGear には、リモートからコードが実行される脆弱性が 2 つ存在しています。ImageGear は、Accusoft 社が提供しているドキュメント/画像処理ライブリです。アプリケーションの開発に利用でき、ドキュメント/画像に関するライフサイクル全体の処理が含まれています。発見された脆弱性は、ドキュメント/画像処理開発ツールキットである Accusoft ImageGear ライブラリに存在しています。攻撃者は、これらの脆弱性をエクスプロイトして境界外書き込みなどさまざまな状況を作り出すことで、最終的に任意のコードを実行することができます。

続きを読む

注目の脆弱性：Accusoft ImageGear で確認されたメモリ破損の脆弱性

Accusoft 社の ImageGear には、攻撃者がソフトウェアのメモリを破損させ、被害者のマシンで任意のコードを実行できる脆弱性が存在します。ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の変換、作成、編集、注釈追加などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超える形式をサポートしています。攻撃者は、細工した不正な形式のファイルをターゲットに送信することで、境界外書き込みとメモリ破損を引き起こせる可能性があります。

続きを読む

注目の脆弱性：Epignosis eFront で確認されたパスワードリセットの脆弱性

Epignosis 社の eFront には、攻撃者が任意のアカウントのパスワードをリセットできる脆弱性が存在します。eFront は、ユーザがトレーニングコースを作成・投稿するための学習管理システム（LMS）プラットフォームです。攻撃者は、パスワードリセットのシードを予測してワンタイムトークンに対して正しいパスワードを生成してリセットすることで、この脆弱性をエクスプロイトできる可能性があります。 

続きを読む

注目の脆弱性：WebKit WebAudio API で確認されたリモートコード実行の脆弱性

WebKit ブラウザエンジンの WebAudio API インターフェイスには、リモートコード実行の脆弱性が含まれています。悪意のある Web ページ内のコードにより解放済みメモリ使用（use-after-free）エラーが引き起こされ、任意コードを実行される危険性があります。攻撃者は、ユーザを騙して細工された Web ページにアクセスさせる方法でこの脆弱性をエクスプロイトします。

続きを読む

 注目の脆弱性：情報漏えいにつながるおそれがある、Slic3r の境界外読み取りの脆弱性

Cisco Talos はこのほど、Slic3r のライブラリに境界外読み取りの脆弱性を発見しました。Slic3r はオープンソースの 3D 印刷ツールボックスで、各種の 3D 印刷モデルファイルを特定のプリンタ用のマシンコードに変換する用途などに利用されています。Slic3r で実行される非 GUI ベースプロセスの大半には libslic3er が使用されます。こうした非 GUI ベースプロセスには、各種ファイル形式の読み取り、形式変換、特定の 3D プリンタ設定に適した gcode の出力などがあります。攻撃者は、細工した

続きを読む

注目の脆弱性：Allen-Bradley Flex I/O にサービス拒否の脆弱性を発見

Rockwell Automation 社の Allen-Bradley Flex I/O 入出力デバイスには、サービス妨害の脆弱性が存在します。FLEX I/O の筐体は小型ですが、さまざまな入出力操作が可能です。外部との通信はイーサネット/IP（ENIP）と HTTP 経由で行います。攻撃者は、細工した悪意のあるパケットをデバイスに送信することで、サービス拒否を引き起こせる可能性があります。

続きを読む

注目の脆弱性：SoftMaker Office PlanMaker で発見された複数の脆弱性

SoftMaker 社の Office PlanMaker には複数の脆弱性が存在し、さまざまな悪意のある状態が引き起こされる可能性があります。同社の主力製品である SoftMaker Office は各種のプラットフォームでサポートされていて、テキスト文書やスプレッドシートの作成、プレゼンテーションのデザインなどを行うためのコンポーネントが含まれています。SoftMaker Office スイートは、各種の標準的な Office 形式のファイルを扱えるほか、独自のファイル形式にも対応しています。今回見つかった脆弱性はすべて、スプレッドシートの作成と編集に使用される PlanMaker のコンポーネントに存在します。

続きを読む

注目の脆弱性： PrusaSlicer で発見された複数の脆弱性

Cisco Talos は先日、Prusa Research 社の PrusaSlicer で、境界外書き込みの脆弱性を 2 件発見しました。Prusa Slicer は、Slic3r から派生したオープンソースの 3D プリンタ スライシング プログラムです。さまざまな 3D モデルファイル形式を変換する機能や、3D プリンタで読み取り可能な Gcode

続きを読む

注目の脆弱性：Micrium uc-HTTP の HTTP サーバにサービス妨害の脆弱性を発見

Cisco Talos は先日、Micrium uc-HTTP の HTTP サーバで、サービス妨害状態を引き起こす可能性がある 2 件の脆弱性を発見しました。攻撃者は、細工された HTTP リクエストをユーザのマシンに送り付けることで、これらの脆弱性をトリガーできる可能性があります。uC-HTTP の HTTP サーバは、µC/OS II または µC/OS III RTOS カーネルを実行する組み込みシステム上で使用できるように設計されています。この

続きを読む