米国のIoTセキュリティベンダーであるアーミス(Armis)は2019年7月29日(現地時間)、ウインドリバー(Wind River Systems)のRTOS(リアルタイムOS)「VxWorks」のゼロデイ脆弱性を発見したと発表した。バージョン6.5以降のVxWorksで、IPnet(TCP/IP)スタックを用いるものが対象。ただし、航空機や機能安全など規格認証が求められる機器向けに設計された「VxWorks 653」や「VxWorks Cert Edition」は対象になっていない。
「VxWorks」にゼロデイ脆弱性、「URGENT/11」は2億個のデバイスに影響 - MONOist(モノイスト)
アーミスは、発見したゼロデイ脆弱性が11個あることから、これらをまとめて「URGENT/11」と呼称している。ウインドリバーはアーミスの報告を受けてから共同して問題に対処しており、2019年6月には顧客にURGENT/11について通知し、対応するためのパッチも既に発行している。VxWorksを搭載する機器を展開している企業や組織は、直ちにパッチを適用する必要がある。パッチなどの詳細は、Wind River Security Center内の「Security Alert」を参照のこと。なお、両社によれば、URGENT/11を悪用した攻撃は確認されていないという。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2018/06/21
- メディア: 単行本
- この商品を含むブログを見る