JVNDB-2014-008060

International Components for Unicode の ICU4C の Unicode 双方向アルゴリズムの実装におけるサービス運用妨害 (DoS) の脆弱性

International Components for Unicode (ICU) の ICU4C の Unicode 双方向アルゴリズムの実装の common/ubidi.c 内の resolveImplicitLevels 関数は、一方向に分離された (directionally isolated) テキストの部分を適切に追跡しないため、サービス運用妨害 (ヒープベースのバッファオーバーフロー) 状態にされる、または任意のコードを実行される脆弱性が存在します。

ICU project

• ICU 55.1 未満

アップル

• iTunes 12.3 未満 (Windows 7 以降)
• Apple Mac OS X 10.6.8 以上 10.11 未満
• iOS 9 未満 (iPad 2 以降)
• iOS 9 未満 (iPhone 4s 以降)
• iOS 9 未満 (iPod touch 第 5 世代以降)
• watchOS 2 未満 (Apple Watch Edition)
• watchOS 2 未満 (Apple Watch Sport)
• watchOS 2 未満 (Apple Watch)

オラクル

• Oracle Communications Applications の Oracle Communications Messaging Server 7.0.5
• Oracle Communications Applications の Oracle Communications Messaging Server 8.0

第三者により、巧妙に細工されたテキストを介して、サービス運用妨害 (ヒープベースのバッファオーバーフロー) 状態にされる、または任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

ICU project

• ICU trac : 37162
• International Components for Unicode : Top Page

アップル

• Apple Mailing Lists : APPLE-SA-2015-09-16-1 iOS 9
• Apple Mailing Lists : APPLE-SA-2015-09-21-1 watchOS 2
• Apple Mailing Lists : APPLE-SA-2015-09-30-3 OS X El Capitan 10.11
• Apple Mailing Lists : APPLE-SA-2015-09-16-3 iTunes 12.3
• Apple Security Updates : HT205212
• Apple Security Updates : HT205213
• Apple Security Updates : HT205267
• Apple Security Updates : HT205221
• Apple セキュリティアップデート : HT205212
• Apple セキュリティアップデート : HT205213
• Apple セキュリティアップデート : HT205267
• Apple セキュリティアップデート : HT205221

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• Oracle Technology Network : Oracle Solaris Third Party Bulletin - October 2015
• SECURITY BLOG : October 2015 Critical Patch Update Released

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2014-8146

1. JVN : JVNVU#97322697
2. JVN : JVNVU#97220341
3. JVN : JVNVU#99970459
4. National Vulnerability Database (NVD) : CVE-2014-8146
5. US-CERT Vulnerability Note : VU#602540

• [2015年05月27日]
    掲載
  [2015年10月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (HT205212) を追加
    ベンダ情報：アップル (HT205213) を追加
    ベンダ情報：アップル (HT205267) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-16-1 iOS 9) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-21-1 watchOS 2) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-30-3 OS X El Capitan 10.11) を追加
    参考情報：JVN (JVNVU#99970459) を追加
    参考情報：JVN (JVNVU#97220341) を追加
  [2015年10月09日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-09-16-3 iTunes 12.3) を追加
    ベンダ情報：アップル (HT205221) を追加
  [2015年10月30日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加
  [2015年11月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加