CISA 勧告:Philips Vue ヘルスケア製品に 15 の脆弱性

CISA Says Philips Vue Healthcare Products Affected by 15 Vulnerabilities

2021/07/07 SecurityWeek — 昨日、米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Philips のヘルスケア製品 Vue に影響を及ぼす 15件の脆弱性について、各組織に周知するための勧告を発表した。CISA によると、欠陥の多くはサードパーティのコンポーネントに存在し、MyVue / Vue Speech / Vue Motion を含む、複数の Philips Clinical Collaboration Platform Portal (Vue PACS) に影響を及ぼす。これらのセキュリティホールは、不適切な入力検証/メモリ操作/認証処理/リソース処理/保護メカニズム/暗号処理/データ整合性や、クロスサイト・スクリプティングなどに関連するものである。

CISA は勧告 の中で、「これらの脆弱性が悪用された場合、権限のない人やプロセスが、システムの機密性/完全性/可用性に悪影響を与える。具体的には、データの盗聴や改ざんや、不正なシステム・アクセス、細工されたコードの実行、未承認のソフトウェアのインストールなどが生じる可能性がある」と述べている。これらの 15件の脆弱性のうち、7件は Philips 製品に特有のもので、残りは Redis / 7-Zip / Oracle Database / jQuery / Python / Apache Tomcat などの、サードパーティ・コンポーネントに影響を与えるものだ。これらの脆弱性のうち、4件は Critical と評価され、4件は High と評価されている。

CISA によると、これらの脆弱性には、すでに修正されたものも含まれるそうです。しかし、その他の脆弱性は、2022年 Q1 にパッチが提供される予定だと、この記事は指摘しています。CISA は Philips セキュリティ勧告を参照していますが、同社は公的な勧告を発表していないようです。CISA は、Philips Vue の管理者に対して、ICS medical advisory ICSMA-21-187-01 Philips Vue PACS を確認し、必要な更新や回避策を適用することを推奨しています。Philips というと、Sony と一緒になって CD を創ったメーカーとして記憶されていますが、現在はヘルスケア分野で活躍しています。時代の変化を感じてしまいますね。

%d bloggers like this: