セキュリティホール memo - 2016.01

Last modified: Mon Mar 30 12:18:31 2016 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2016.01.29

Lenovo ShareIT Multiple Vulnerabilities
(CORE SECURITY, 2016.01.25)

 lenovo のファイル共有アプリ SHAREit の Windows 版と Android 版に、計 4 点の欠陥。lenovo からの発表はこちら: LEN-4058 - Windows / Android SHAREit の脆弱性 (lenovo, 2016.01.25)

欠陥 Windows 版 Android 版 CVE
ファイル受信を設定すると、WiFi ホットスポットが固定パスワード 12345678 で稼働される - CVE-2016-1491
WiFi ネットワーク有効かつデフォルトパスワードで接続している場合に、任意の既知パスのファイル名一覧を取得できる - CVE-2016-1490
ファイルが暗号化なしで転送される CVE-2016-1489
ファイル受信を設定すると、WiFi ホットスポットがパスワードなしで稼働される - CVE-2016-1492

 Windows 版 3.2.0、Android 版 3.5.48_ww で修正されている。 secure mode を利用することで、任意の WiFi パスワードを設定できるようになり、 ファイル転送も暗号化される。

Firefox 44.0 / ESR 38.6.0 公開
(Mozilla, 2016.01.26)

 Firefox 44.0 / ESR 38.6.0 公開。13 件のセキュリティ欠陥が修正されている。 また RC4 の復号機能を廃止した他、 「信頼できる証明書」から Equifax Secure Certificate Authority の 1024 ビットルート証明書、 UTN - DATACorp SGC を除外した。

2016.02.12 追記:

 Firefox 44.0.2 / ESR 38.6.1 が公開されました。セキュリティ修正を含みます。

東芝製ノートパソコンに搭載のバッテリーパックの交換・回収について(発火の恐れ)
(東芝, 2016.01.28)

 「2011年6月以降に製造販売された」、東芝 Note PC で使われている Panasonic 製バッテリーに欠陥、発火のおそれあり。回収・交換を実施中。


2016.01.28

新たなお願い パナソニック ノートパソコン用バッテリーパック交換・回収のお知らせ
(Panasonic, 2016.01.28)

 「2011年7月から2012年5月の間に製造した」次の機種の、特定ロットのバッテリーに欠陥があり、「発火、火災に至る危険」がある。

 詳細については、Panasonic のページでご確認を。


2016.01.27

NTF releases ntp-4.2.8p6 security patch
(Network Time Foundation, 2016.01.19)

 ntp-4.2.8p6 公開。9 件のセキュリティ欠陥を修正。 また、2 件のセキュリティ欠陥の緩和策を公開。


2016.01.26

追記

About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001 (2016.01.20)

 OS X v10.11.3 + ESET 製品で不具合が発生し、2016.01.23 に対応されたそうです。 齋藤さん情報ありがとうございます。

  • OS X v10.11.3 にアップグレード後、Webページへのアクセスに時間がかかる (キヤノン IT ソリューションズ, 2016.01.25 更新)

    本現象は、2016年1月20日 21時25分頃に配信されたインターネット保護機能モジュール(バージョン 1242)により発生していたことを確認しています。
    (中略)
    2016年1月23日 04時04分頃に公開されたウイルス定義データベース「12912(20160122)」以降が適用されていれば、本現象は修正されています。

2016.01.25

追記

いろいろ (2016.01.20) : Linux 3.8 以降

いろいろ (2016.01.14) : FortiOS

いろいろ (2016.01.25)
(various)

Intel Driver Update Utility


2016.01.24


2016.01.22


2016.01.21

いろいろ (2016.01.21)
(various)

LastPass

追記

About the security content of iOS 9.2.1 (2016.01.20)

Chrome Stable Channel Update
(Google, 2016.01.20)

 Chrome 48.0.2564.82 公開。37 件のセキュリティ欠陥を修正。


2016.01.20

いろいろ (2016.01.20)
(various)

Linux 3.8 以降

Moodle

About the security content of Safari 9.0.3
(Apple, 2016.01.19)

 OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11〜v10.11.2 用 Safari 9.0.3 登場 (v10.11.3 には同梱)。

コンポーネント 影響 CVE
WebKit 攻略 Web サイトを閲覧すると任意のコードが実行される CVE-2016-1723 CVE-2016-1724 CVE-2016-1725 CVE-2016-1726 CVE-2016-1727
WebKit CSS ユーザーがたどったリンクを Web サイトが検出できる CVE-2016-1728

About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001
(Apple, 2016.01.19)

 OS X El Capitan 10.11.3 および、Yosemite v10.10.5 / Mavericks v10.9.5 用 Security Update 2016-001 公開。9 件のセキュリティ欠陥が修正されている。

コンポーネント 影響 対象 CVE
AppleGraphicsPowerManagement local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1716
Disk Images local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1717
IOAcceleratorFamily local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1718
IOHIDFamily local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1719
IOKit local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1720
Kernel local user が任意のコードを kernel 権限で実行できる v10.11 CVE-2016-1721
libxslt 攻略 Web サイトを閲覧すると任意のコードが実行される v10.11, v10.10, v10.9 CVE-2015-7995
OSA Scripts 隔離されたアプリケーションが、ユーザーによってインストールされた OSA スクリプトライブラリーを override できる v10.11 CVE-2016-1729
syslog local user が任意のコードを root 権限で実行できる v10.11 CVE-2016-1722

2016.01.26 追記:

 OS X v10.11.3 + ESET 製品で不具合が発生し、2016.01.23 に対応されたそうです。 齋藤さん情報ありがとうございます。

About the security content of iOS 9.2.1
(Apple, 2016.01.19)

 iOS 9.2.1 公開。13 件のセキュリティ欠陥が修正されている。

コンポーネント 影響 CVE
Disk Images local user が任意のコードを kernel 権限で実行できる CVE-2016-1717
IOHIDFamily local user が任意のコードを kernel 権限で実行できる CVE-2016-1719
IOKit local user が任意のコードを kernel 権限で実行できる CVE-2016-1720
Kernel local user が任意のコードを kernel 権限で実行できる CVE-2016-1721
libxslt 攻略 Web サイトを閲覧すると任意のコードが実行される CVE-2015-7995
syslog local user が任意のコードを root 権限で実行でき CVE-2016-1722
WebKit 攻略 Web サイトを閲覧すると任意のコードが実行される CVE-2016-1723 CVE-2016-1724 CVE-2016-1725 CVE-2016-1726 CVE-2016-1727
WebKit CSS ユーザーがたどったリンクを Web サイトが検出できる CVE-2016-1728
WebSheet 攻略 captive portal がユーザーの cookie にアクセスできる CVE-2016-1730

2016.01.21 追記:

 iOS端末の持ち主になりすまして攻撃できるクッキーの脆弱性が発覚、なんとAppleは2年半も放置 (gigazine, 2016.01.21)、 Shared Cookie Stores Bug Fixed in iOS 9.2.1 (Skycure, 2016.01.19)。 CVE-2016-1730 の件。

BIND 方面 2 件
(JPRS, 2016.01.20)

 出ました。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2015-8704) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - (JPRS, 2016.01.20)

 BIND 9.x に欠陥。文字列フォーマットの処理に欠陥があり、攻略レコードを受け取ると named が crash する。CVE-2015-8704

 BIND 9.10.3-P3、9.9.8-P3 で修正されている。

BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2015-8705) - debug loggingを有効にしている場合のみ対象、バージョンアップを強く推奨 - (JPRS, 2016.01.20)

 BIND 9.10.x に欠陥。debug logging を有効にしている場合に欠陥があり、 OPT 擬似リソースレコードあるいは ECS オプションを整形してテキスト化すると named がクラッシュする。CVE-2015-8705

 BIND 9.10.3-P3 で修正されている。 また debug logging を無効にすることで回避できる。

Oracle Critical Patch Update Advisory - January 2016
(Oracle, 2016.01.19)

 Oracle 四半期定例セキュリティ更新。計 248 件のセキュリティ欠陥を修正。

Please note that on November 10, 2015, Oracle released Security Alert for CVE-2015-4852. Customers of affected Oracle products are strongly advised to apply the fixes and/or configuration steps that were announced for CVE-2015-4852.

 CVE-2015-4852 は WebLogic 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0 の欠陥。

 Java SE 8 Update 71/72 は 8 件のセキュリティ欠陥を修正。


2016.01.19

追記

脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 (2015.11.10)

 関連:


2016.01.18

追記

Apple 関係積み残し (2015.10.28)

 About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007 (Apple, 2015.10.21) には Gatekeeper 回避の件の修正が含まれていたが、実は完全ではなかった件:


2016.01.15

マイクロソフト セキュリティ アドバイザリ 3109853, 3118753, 3123479
(Microsoft, 2016.01.13)

 3 つ出てます。

3109853 - TLS セッション再開の相互運用性を改善する更新プログラム (Microsoft, 2016.01.13)

 「RFC5077 ベースの再開を有効にし、省略された TLS ハンドシェイクで NewSessionTicket メッセージの送信を可能にします」。関連:

3118753 - ActiveX の Kill Bit 更新プログラム (Microsoft, 2016.01.13)

 「IBM Endpoint Manager for Remote Control (バージョン 9.0.1 およびそれ以降) および IBM Assist On-site (バージョン 4.0.0)」の ActiveX コントロールに kill bit を設定。

3123479 - マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止 (Microsoft, 2016.01.13)

 「2016 年 1 月 1 日から有効になる SHA-1 コード署名廃止のための変更」。

追記

いろいろ (2016.01.14)

October 2015 NTP Security Vulnerability Announcement (Medium) (2015.10.27)

 ntp 4.2.8p5 公開されました。

OpenSSH 7.1p2 Release Notes
(OpenSSH, 2016.01.14)

 OpenSSH 7.1p2 公開。Qualys Security Advisory の件の他に、こういうのが:

SECURITY: Fix an out of-bound read access in the packet handling code. Reported by Ben Hawkes.

Qualys Security Advisory - Roaming through the OpenSSH client: CVE-2016-0777 and CVE-2016-0778
(Qualys, 2016.01.14)

 OpenSSH 5.4〜7.1 の ssh クライアントにおいてデフォルト有効であるにもかかわらず文書化されていない機能「ローミング (roaming)」を悪用すると、攻略 SSH サーバーが、

できるという話。

 どこかの悪意あるサーバ、あるいは攻略されたサーバに脆弱な ssh クライアントで接続してしまったことがある場合、あなたのプライベート鍵は、既に盗まれてしまっているのかもしれない。 安全側に倒れるのであれば、クライアント用の鍵ペアをつくりなおして運用し、古い鍵は廃棄する必要がありそう。ただし OpenSSH 6.6 だけは、プライベート鍵の漏洩は起こらないみたい。

 対応:

 回避方法: ローミング機能を無効に設定する。

 あと、Qualys Security Advisory で示されている securecoding.cert.org の文書は、JPCERT/CC による日本語版がある:

2016.02.17 追記:

 OpenSSHクライアントで秘密鍵が漏洩する脆弱性(CVE-2016-0777)の内容と対策 (paiza開発日誌, 2016.01.15)

2016.03.23 追記:

 About the security content of OS X El Capitan v10.11.4 and Security Update 2016-002 (Apple, 2016.03.21)。OS X もようやく対応。


2016.01.14

いろいろ (2016.01.14)
(various)

ISC DHCP

Go

トレンドマイクロ パスワードマネージャー

  • Issue 693: TrendMicro node.js HTTP server listening on localhost can execute commands (google-security-research, 2016.01.05)。いろいろひどかった。

  • Information on Reported Vulnerabilities in Trend Micro Password Manager (Trend Micro, 2016.01.11)。2016.01.11 の ActiveUpdate で修正されているそうで。

  • パスワードマネージャーの脆弱性に関して (トレンドマイクロ, 2016.01.14)。パスワードマネージャー 3.5 Windows / Mac 版に欠陥。iOS / Android 版にはこの欠陥はない。

    1/11(月)
    追加でご指摘頂いた脆弱性を修正するプログラムアップデートを全ユーザに配信済です ※プログラムアップデート(適用後のバージョンはWindows版:3.5.(0).1298、Mac版:3.5.1116)は自動的に適用されます
    ※バージョン番号はWindowsの場合、[コントロールパネル]→[プログラムと機能]のプログラム一覧より確認できます。Macの場合、[管理画面]→ページ右上のアイコンの[設定]より確認できます。
    なお、1/14(木)より順次、機能改善および追加の修正を含んだプログラムアップデートを全ユーザに配信予定となります。
    ※パスワードマネージャーの専用ブラウザ(セキュアブラウザ)の仕様変更のため、アップデート適用後、セキュアブラウザは一時的にご利用いただけなくなります。提供可能になりましたら、アップデートを再度配信させて頂きます
  • グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告 (ZDNet, 2016.01.13)

  • CVE-2016-3987

FortiOS

2016.01.15 追記:
2016.01.25 追記:

2016 年 1 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2016.01.13)

MS16-001 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (3124903)

 IE 7〜11 に 2 件の欠陥。

  • スクリプト エンジンのメモリ破損の脆弱性 - CVE-2016-0002。 Exploitability Index: 1

  • 特権の昇格の脆弱性 - CVE-2016-0005。 Exploitability Index: 2

 IE 7, 8 が維持されるのは今回まで。 IE 9, 10 も、一部 (Vista / Server 2008, Server 2012) で維持されるのみ。 基本的には IE 11 のみとなる。

MS16-002 - 緊急: Microsoft Edge 用の累積的なセキュリティ更新プログラム (3124904)

 Edge に 2 件の欠陥。

  • メモリ破損の脆弱性 - CVE-2016-0003。 Exploitability Index: 1

  • スクリプト エンジンのメモリ破損の脆弱性 - CVE-2016-0024。 Exploitability Index: 1

MS16-003 - 緊急: リモートでのコード実行に対処する JScript および VBScript 用の累積的なセキュリティ更新プログラム (3125540)

 Windows Vista / Server 2008 に欠陥。VBScript エンジンに欠陥があり、攻略 Web ページを IE で閲覧すると任意のコードが実行される。 CVE-2016-0002。 Exploitability Index: 1

 CVE 番号は MS16-001 (2 つの内 1 つ) と同じなので注意。

MS16-004 - 緊急: リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3124585)

 Office 2007 / 2010 / 2013 / 2013 RT / 2016、Office for Mac 2011、 Office 2016 for Mac、互換機能パック SP3、Excel Viewer、Word Viewer、 SharePoint Server 2013、SharePoint Foundation 2013、 Visual Basic ランタイム 6.0 に 5 つの欠陥。

  • 複数の Microsoft Office のメモリ破損の脆弱性 - CVE-2016-0010 (Exploitability Index: 2)、 CVE-2016-0035 (Exploitability Index: 1)。 プレビュー表示も影響を受ける。

  • 複数の Microsoft SharePoint のセキュリティ機能のバイパス - CVE-2016-0011 (Exploitability Index: 2)、 CVE-2015-6117 (Exploitability Index: 3)

  • Microsoft Office ASLR バイパス – CVE-2016-0012 (Exploitability Index: 1)

MS16-005 - 緊急: リモートでのコード実行に対処する Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3124584)

 Windows Vista / Server 2008、7 / Server 2008 R2、8 / Server 2012 / RT、 8.1 / Server 2012 R2 / RT 8.1、10 に 2 件の欠陥。

  • Windows GDI32.dll ASLR バイパスの脆弱性 - CVE-2016-0008。 Exploitability Index: 2

    攻略 Web サイトを閲覧すると / 攻略電子メールを読むと / 攻略 Office 文書を開くと、ASLR 機能を回避される。

  • Win32k のリモートでコードが実行される脆弱性 - CVE-2016-0009。 Exploitability Index: 1

    攻略 Web サイトを閲覧すると任意のコードが実行される。

MS16-006 - 緊急: リモートでのコード実行に対処する Silverlight 用のセキュリティ更新プログラム (3126036)

 Silverlight 5、Silverlight 5 Developer Runtime に欠陥。 攻略 Web サイトを閲覧すると、任意のコードが発現する。 CVE-2016-0034。 Exploitability Index: 1

MS16-007 - 重要: リモートでのコード実行に対処する Microsoft Windows 用のセキュリティ更新プログラム (3124901)

 Windows Vista / Server 2008、7 / Server 2008 R2、8 / Server 2012 / RT、 8.1 / Server 2012 R2 / RT 8.1、10 に 6 件の欠陥。

  • 複数の DLL 読み込みに関する特権の昇格の脆弱性 - CVE-2016-0014 (Exploitability Index: 1)、 CVE-2016-0020 (Exploitability Index: 1)

    local user による権限上昇が可能。

  • DirectShow のヒープ破損のリモートでコードが実行される脆弱性 - CVE-2016-0015。 Exploitability Index: 2

    攻略電子メールを閲覧すると、任意のコードが実行される。

  • 複数の DLL 読み込みのリモート コード実行の脆弱性 - CVE-2016-0016 (Exploitability Index: 1)、 CVE-2016-0018 (Exploitability Index: 1)

    local user による権限上昇が可能。

  • Windows リモート デスクトップ プロトコルのセキュリティ バイパスの脆弱性 - CVE-2016-0019。 Exploitability Index: 2

    パスワードを設定してしないアカウントへのリモートログオンを制限する機能がうまく働かない。

MS16-008 - 重要: 特権の昇格に対処する Windows カーネル用のセキュリティ更新プログラム (3124605)

 Windows Vista / Server 2008、7 / Server 2008 R2、8 / Server 2012 / RT、 8.1 / Server 2012 R2 / RT 8.1、10 に 2 件の欠陥。 local user による権限上昇が可能。 CVE-2016-0006 (Exploitability Index: 1)、 CVE-2016-0007 (Exploitability Index: 1)

MS16-009

 欠番になっている。

MS16-010 - 重要: なりすましに対処する Microsoft Exchange Server 用のセキュリティ更新プログラム (3124557)

 Exchange Server 2013 / 2016 に 4 つの欠陥。Outlook Web Access (OWA) に欠陥があり、攻略電子メールによってスクリプト / コンテンツ・インジェクションが可能。 CVE-2016-0029 (Exploitability Index: 2)、 CVE-2016-0030 (Exploitability Index: 1)、 CVE-2016-0031 (Exploitability Index: 2)、 CVE-2016-0032 (Exploitability Index: 1)

 関連:


2016.01.13

APSB16-02 - Security Updates Available for Adobe Acrobat and Reader
(Adobe, 2016.01.12)

 Acrobat Reader DC / Acrobat DC, Adobe Reader XI / Acrobat XI 更新。 17 件のセキュリティ欠陥を修正。Priority Rating: 2

 Adobe Reader X / Acrobat X は既にサポートが終了しているので更新は出ない。


2016.01.12

いろいろ (2016.01.12)
(various)

VMware ESXi, Fusion, Player, Workstation

TrueCrypt, VeraCrypt

Wireshark

Subversion

WordPress 4.4.1 セキュリティとメンテナンスのリリース
(WordPress, 2016.01.10)

 WordPress 4.4.1 公開 (日本語版あり)。XSS 欠陥 CVE-2016-1564 と、複数の非セキュリティな不具合が修正されている。

About the security content of QuickTime 7.7.9
(Apple, 2016.01.07)

 Windows Vista / 7 用 QuickTime 7.7.9 公開。 攻略ムービーファイルを閲覧すると任意のコードが実行されるなど、 計 9 件のセキュリティ欠陥が修正されている。


2016.01.08


2016.01.06

追記

「Flash Player」にゼロデイ脆弱性、ひと足早く2016年第1号のセキュリティアップデート (2015.12.29)

 Internet Explorer (IE) / Edge 用の Flash Player 20.0.0.267 / 18.0.0.324 に不具合があったようで、更新版が公開されてます。

プラットホーム バージョン
Desktop Runtime (Windows) 20.0.0.270
Extended Support Release (Windows) 18.0.0.326
Windows 10 の Internet Explorer 11 / Edge 20.0.0.272

 Windows 8 / Server 2012 / RT の IE 10、 Windows 8.1 / Server 2012 R2 / RT 8.1 の IE 11 については 20.0.0.267 のままです。不具合事例:


2016.01.03


2016.01.02

 あけましておめでとうございます。本年もよろしくお願いいたします。

追記

堺市有権者 68 万人個人情報流出事件 (2015.12.25)

Critical 0-day Remote Command Execution Vulnerability in Joomla (2015.12.15)


[セキュリティホール memo]
[私について]