セキュリティホール memo - 2018.09

Last modified: Tue Apr 16 15:35:20 2019 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.09.28


2018.09.27


2018.09.26

追記

Apple 関連 (iOS, tvOS, watchOS, Safari, Apple Support, iTunes) (2018.09.18)

 macOS Mojave 10.14 公開されました。 Xcode 10 というのも出てました。 iOS 12, tvOS 12, watchOS 5, Safari 12 では内容が追加されています。 iTunes 12.9 for Windows についても公開されています。

Firefox 62.0 / ESR 60.2.0 公開 (2018.09.06)

 Firefox 62.0.2 / ESR 60.2.1 公開 (2018.09.21)。セキュリティ修正を含む。

いろいろ (2018.09.26)
(various)

Apache HTTPD

Smarty

PHP

Apache SpamAssassin

Moodle

Microsoft JET データベースエンジン

Bitcoin Core, Litecoin Core, Monacoin


2018.09.25

ほぼ全ての最新ノートPCに脆弱性、コールドブート攻撃で情報盗まれるおそれ
(ZDNet, 2018.09.14)

 コールドブート攻撃再び。スリープするのは駄目な模様。

2018.10.26 追記:

 “絶滅”したはずの10年前のハッキング手法が、あらゆるPCを危険に晒す (WIRED, 2018.10.25)


2018.09.24

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)


2018.09.21


2018.09.20

BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)
(JPRS, 2018.09.20)

 BIND 9.x に欠陥。

場合に欠陥が発現。remote から Dynamic Update を使って zone データを不正に更新できる。

 BIND 9.11.5 / 9.12.3 で修正される予定 (未リリース)。 で、

▼一時的な回避策
named.confにおいて当該機能を設定している場合、設定の追加が必要になります。詳細については、ISCから発表されている情報を参照してください。

と書かれているのだけど、CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain (ISC) にある

Workarounds:
To limit updates to a subset of a zone -- for example, "sub.example.com" -- create a new "sub.example.com" child zone beneath "example.com", and set the desired update-policy in the child zone rather than the parent.

って結局どういうことなんだろう。krb5-subdomain / ms-subdomain を使うのをやめて、 krb5-self / ms-self で書き直すってこと?

Security bulletin for Adobe Acrobat and Reader | APSB18-34
(Adobe, 2018.09.19)

 Adobe Acrobat / Reader for Windows / Mac、更新出ました。セキュリティ修正は 7 件。 0-day は無いようです。Priority Rating は 2。

2018.10.02 追記:

 7 件のうち ZDI の奴はこの 2 件。 通知はいずれも 2018-05-22。

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 どうやら、ウイルスバスター モバイル(iOS版) が iOS 12 で不具合を起こしているようです。


2018.09.19

追記

2018 年 9 月のセキュリティ更新プログラム (月例) (2018.09.12)

 Windows 10 version 1709 / 1803 で問題があり、KB4464217 / KB4464218 で修正されたそうで。

  • September 17, 2018—KB4464217 (OS Build 16299.666) (Microsoft)。version 1709 用。

    • Addresses an issue that may prevent a VPN connection from establishing for some users that are using VPN with IKEv2. The connection fails with the error, “Remote Access Error 809.”
    • Addresses a Microsoft Intune issue that occurs after installing any of the updates released between July 24, 2018 and September 11, 2018. Windows no longer recognizes the Personal Information exchange (PFX) certificate that’s used for authenticating to a Wi-Fi or VPN connection. As a result, Microsoft Intune takes a long time to deliver user profiles because it doesn’t recognize that the required certificate is on the device.
  • September 17, 2018—KB4464218 (OS Build 17134.286) (Microsoft)。version 1803 用。version 1709 用の、後者と同じ問題の修正。

「Acrobat Reader DC」などの最新版に未修正の脆弱性 ~Adobeが修正を予告  米国時間9月19日にセキュリティアップデートをリリース
(窓の杜, 2018.09.18)

 すわ 0-day か?! と思ったが、 Prenotification security advisory for Adobe Acrobat and Reader | APSB18-34 にはそういった記述はないし、Priority も 2 なので、不具合が発生したか何かで定例更新に間にあわなかったというだけの話なのかなあ。


2018.09.18

Apple、トレンドマイクロ製アプリを Mac App Store から削除
(various)

 最初話題になったのは「Adware Doctor」という別の会社のアプリだったのだけど、

 似たような話がトレンドマイクロ製の Dr. シリーズアプリなどにもあるぜという話になり、炎上。結果として、Dr シリーズだけでなく、トレンドマイクロ製アプリ一般が削除されまくっている。

 トレンドマイクロ オフィシャル:

2018.09.20 追記:

 どうやら、ウイルスバスター モバイル(iOS版) が iOS 12 で不具合を起こしているようです。

2018.09.24 追記:

 iPhone版ウイルスバスター、買ってもインストールできない状況が続く (日高 彰 / BCN+R, 2018.09.23)

2018.10.29 追記:

 App Store上の当社アプリに関する重要なお知らせ (トレンドマイクロ, 2018.10.24)

当社製macOS向け6アプリ Dr. Cleaner(国内製品名:ライトクリーナー LE)、Dr. Cleaner Pro(国内製品名:ライトクリーナー)、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、Duplicate Finder が、アプリをインストールする直前の24時間以内のブラウザ履歴を一度だけ取得していた件について、一部のアプリ(Dr. Battery)が、ブラウザ履歴を収集することを2018年9月10日時点(日本時間)ではWebサイト上で明示しておらず、この事実を確認後にアプリが収集する情報に関する記載を修正したことが分かりました。

また、ブラウザ履歴を取得しているアプリで、日本国内で提供していたDr. Cleaner(国内製品名:ライトクリーナー LE)及びDr. Cleaner Pro(国内製品名:ライトクリーナー)のほかに、Dr. Battery、Duplicate Finderが9月8日時点(日本時間)で日本向けに誤って公開されていたことがわかりました。

 トレンドマイクロ、ブラウザ履歴収集を開示していなかった上に、アリバイ的 EULA 改変を実施して胡麻化していたことを遂に認める。

 報道:

2018.10.31 追記:

 App Store上の当社アプリに関する重要なお知らせ (トレンドマイクロ, 2018.10.31)。 Trend Micro DIRECTION の開催を明日に控え、エバ・チェン社長名義の文書が出てきた。しかし、ぶっちゃけ意味不明。

収集が必要なデータが何で、何をもってほかのアプリに干渉すると考えられるのか、これらの点に関する見解の相違が、当社アプリの審査ならびに再公開に向けたプロセスの長期化をもたらしています。

 「見解の相違」? 今回の事象が不適切な情報収集であったと認めたくないので Apple と合意できていない、ということ?

 不適切な情報収集であったと認められないのなら、App Store 公開再開なんて絶対にないと思うのだが。バッテリーユーティリティや書庫展開プログラムがブラウザー履歴を要求するというのは、どう考えてもおかしいだろう。ポリシーに明記されていたかどうかにかかわらず。

アプリの審査や再公開プロセスでの想定外の遅延や、製品設計に対するAppleならではのアプローチに基づいて当社製品の再設計を求める新たな要求によって、当社のお客さまの安全性が損なわれてはならないと強く考えており、当社ではお客さまの保護に継続して献身的に取り組むとともに、Appleの要件を満たして迅速に当社の重要なアプリが再公開できるよう積極的に取り組んでまいります。

 「当社のお客さまの安全性が損なわれ」るような要求が Apple から来ているということ? ブラウザー履歴を収集できない=顧客の安全性が損なわれる、ってこと?!

 少なくとも、App Store からの提供再開の目処は全く立っていないし、近い将来において目処が立つ見込みも全くないようだ。純粋なミスであり、自社だけで対応できた 594 問題よりも深刻だよ。

2018.11.01 追記:

 関連:

2018.11.09 追記:

 Appleに消されたトレンドマイクロ、CEOの言い分 (日経, 2018.11.09)。 「日経 xTECH 2018年11月1日付の記事を再構成」。

2018.11.12 追記:

 関連:

2018.11.13 追記:

 Trend Micro社製 macOS/iOSアプリがApp Storeから一時公開停止されている件について (トレンドマイクロ, 2018.09.12) で事象の発生を認めてから 2 か月が経過しましたが、解決する目処は全く立っていないように見えます。というか、解決する気あるの?

2018.11.20 追記:

 複数のアプリがようやく復活しました。 Apple 側の要求を呑む形になったようです。

 こちら:

2019.04.16 追記:

 Trend Micro、ユーザーのブラウザ履歴を収集していた「Dr. Antivirus」をアップデートし、Mac App Storeでの公開を再開。 (AAPL Ch., 2019.04.16)

Apple 関連 (iOS, tvOS, watchOS, Safari, Apple Support, iTunes)
(Apple, 2018.09.17)

 出てます。

 この他に、2018.09.12 公開の iTunes 12.9 for Windows にもセキュリティ修正が含まれるようです。https://support.apple.com/en-us/HT201222 では「details available soon」となっています。

 関連:

2018.09.26 追記:

 macOS Mojave 10.14 公開されました。 Xcode 10 というのも出てました。 iOS 12, tvOS 12, watchOS 5, Safari 12 では内容が追加されています。 iTunes 12.9 for Windows についても公開されています。


2018.09.16


2018.09.14

追記

いろいろ (2018.08.29) (Ghostscript)

 Ghostscript 9.25 が公開されました。

  • Version 9.25 (2018-09-13) (Ghostscript.com, 2018.09.13)。9.24 におけるセキュリティ修正で生じた不具合の修正に加え、複数のセキュリティ修正が新たに行われているようです。

    This release fixes problems with argument handling, some unintended results of the security fixes to the SAFER file access restrictions (specifically accessing ICC profile files), and some additional security issues over the recent 9.24 release.
  • Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起 (JPCERT/CC, 2018.09.14 更新)


2018.09.13

いろいろ (2018.09.13)
(various)

Intel

curl

Adobe 方面 (Flash Player, ColdFusion)
(Adobe, 2018.09.11)

Flash Player

ColdFusion

JVNVU#99302544 - LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題
(JVN, 2018.09.06)

 wpad やら isatap やらの件再び。Dynamic DNS 機能を持つルーターが問題になるみたい。

家庭やオフィスで使用されている (Google WiFi や Ubiquiti UniFi 等を含む一般的な) ルータでは、多くの場合 DNS の動的登録・更新機能が使用されています。 (中略) WPAD によるプロキシ自動設定については、いわゆる野良 DHCP サーバや、より高位の DNS サーバにおいては問題とされてきましたが、LAN/WLAN 内部における自動設定機能については言及されていませんでした。

 VU#598349 では ADTRAN, Synology, Ubiquiti Networks が affected になっている。 いずれも修正ファームウェアを公開済みたい。


2018.09.12

Stable Channel Update for Desktop
(Chrome Releases Blog, 2018.09.11)

 Chrome 69.0.3497.92 登場。2 件のセキュリティ修正を含む。 www. や m. がアドレスバーの表示から省略される件も修正されている。

2018 年 9 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2018.09.12)

 Microsoft 2018.09 月例出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player, .NET Framework, Microsoft.Data.OData, ASP.NET。

 識者のページ。大きな問題はなさそう。

2018.09.19 追記:

 Windows 10 version 1709 / 1803 で問題があり、KB4464217 / KB4464218 で修正されたそうで。


2018.09.11

追記

Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057) (2018.08.27)

いろいろ (2018.09.11)
(various)

マイクロネット INplc (リアルタイム・ソフトウェア PLC)

 INplc SDK Express 3.09、INpic SDK Pro+ 3.09、INplc-RT 3.09 で修正されている。

サイボウズ Garoon

Apache Traffic Server

 最新版 7.1.4 (2018.08.01)、6.2.3 (2018.08.04) において複数の欠陥が修正されている。

phpMyAdmin

AirWatch Agent for iOS、VMware Content Locker for iOS

VMware Workstation, Fusion

Norton Identity Safe for Android


2018.09.10

いろいろ (2018.09.10)
(various)

MEGA Chrome extension

Windows タスクスケジューラ


2018.09.07


2018.09.06

Firefox 62.0 / ESR 60.2.0 公開
(Mozilla, 2018.09.05)

 出ました。

2018.09.26 追記:

 Firefox 62.0.2 / ESR 60.2.1 公開 (2018.09.21)。セキュリティ修正を含む。

2018.10.03 追記:

 Firefox 62.0.3 / ESR 60.2.2、Android 版 Firefox 62.0.3 公開 (2018.10.02)。セキュリティ修正を含む。

2018.10.10 追記:

 2018.10.04 付で Thunderbird 60.2.1 が出ていたんですね。

追記

いろいろ (2018.08.29) Ghostscript

 対応版がリリースされました。


2018.09.05

Stable Channel Update for Desktop
(Chrome Releases, 2018.09.04)

 Chrome 69.0.3497.81 公開。40 件のセキュリティ修正を含む。 関連:

2018.09.06 追記:

 グーグル、「Chrome 69」安定版に不鮮明なフォントの問題--原因を調査中 (CNET, 2018.09.06)

いろいろ (2018.09.05)
(various)

VLC media player

GeForce Experience


2018.09.03


[セキュリティホール memo]
[私について]