JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月15日、「JVNVU#90214301: 複数の Philips 製品に脆弱性」において、Philipsの医療機器に複数の脆弱性存在すると伝えた。想定される影響は脆弱性ごとに異なっているため注意が必要。

アップデートの提供が年末から来年末にかけてと時間的に空いていることから、それまでに回避策の実施とアップデートが提供されてからの迅速なアップデートの適用が望まれる。

脆弱性に関する情報は次のページにまとまっている。

  • Product Security|Philips

    Product Security | Philips

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Patient Information Center iX (PICiX) Versions B.02、C.02、C.03
  • Patient Information Center iX (PICiX) Versions B.02、C.02、C.03
  • IntelliVue patient monitors MX100、MX400 から 550、MX600、MX700、MX750、MX800、MX850、MP2-MP90
  • IntelliVue X2 および X3 Versions N およびそれ以前のバージョン
  • Patient Information Center iX (PICiX) Versions B.02、C.02、C.03
  • Patient Information Center iX (PICiX) Versions C.02、C.03
  • PerformanceBridge Focal Point Version A.01
  • Patient Information Center iX (PICiX) Versions B.02、C.02、C.03
  • PerformanceBridge Focal Point Version A.01
  • Patient Information Center iX (PICiX) Versions C.02、C.03
  • Patient Information Center iX (PICiX) Versions C.02、C.03
  • PerformanceBridge Focal Point Version A.01
  • IntelliVue patient monitors MX100、MX400 から550、MX750、MX850
  • IntelliVue X3 Versions N およびそれ以前のバージョン

存在するとされる脆弱性は次のとおり。

  • 誤った領域へのリソースの漏洩
  • CSV ファイルにおける外部入力値の不適切な無害化処理
  • 不適切な入力値検証
  • クロスサイトスクリプティング
  • 入力値に対する不適切な構文検証
  • 不適切な認証
  • 長さパラメータの不整合時の不適切な取り扱い
  • 失効した証明書の検証不備

Philipsは次のタイムスケジュールでアップデートの提供を実施するとしており、それまでは回避策を適用するなどの対応を取ることが望まれる。

時期 アップデート対象または新規追加機能
2020年末 Patient Information Center iX (PICiX) Version C.03
2021年Q1 IntelliVue Patient Monitors Versions N.00およびN.01
2021年Q2 PerformanceBridge Focal Point
2021年末 IntelliVue Patient Monitors Version M.04
2023年 証明書失効機能