セキュリティホール memo

Last modified: Mon May 20 19:33:16 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.05.20

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)


2019.05.17


2019.05.16

いろいろ (2019.05.16)
(various)

Titan Security Key (Google)

WhatsApp

WordPress Ultimate Member Plugin

Jw_cad

PostgreSQL

Intel製CPUに新たな脆弱性 ~“Microarchitectural Data Sampling(MDS)”が公表される
(窓の杜, 2019.05.15)

 Intel CPU に新たなサイドチャネル攻撃手法 MDS が発見されたそうで。

CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)
CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)
CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)
CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)

 このうち CVE-2018-12130 は ZombieLoad として他社から発表されたものと同じだそうです。

 脅威を完全に防止するためには、CPU のマイクロコード更新、OS の更新に加えて Hyper-Threading を無効にする必要があるそうで。

 対応状況:

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:


2019.05.15

2019 年 5 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2019.05.15)

 出ました。Flash Player, IE / Edge, Windows, Office, Team Foundation Server, Visual Studio, Azure DevOps Server, SQL Server, .NET Framework, .NET Core, ASP.NET Core, ChakraCore, Online Services, Azure, NuGet, Skype for Android 。

 修正された中で、CVE-2019-0708 というのが超ヤバいのだそうで。

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, Apple TV Software)
(Apple, 2019.05.13)

iOS

tvOS, Apple TV Software

watchOS

macOS, Safari

Adobe 方面 (Acrobat / Reader, Flash Player, Media Encoder)
(Adobe, 2019.05.14)

Acrobat / Reader

  • Security bulletin for Adobe Acrobat and Reader | APSB19-18 (Adobe, 2019.05.14)。84 件のセキュリティ欠陥を修正。Priority Rating: 2

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.012.20034
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30142
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30497

Flash Player

Media Encoder

 

APSB19-27, -28 はまだ公開されていない模様。

Chrome Stable Channel Update for Desktop
(Google, 2019.05.14)

 Chrome 74.0.3729.157 公開。1 件のセキュリティ修正を含む。


2019.05.14


2019.05.13

いろいろ (2019.05.13)
(various)

Android

LibreOffice

Drupal


2019.05.09

追記

Firefox 66.0 / ESR 60.6.0 公開 (2019.03.20)

 Firefox 66.0.5、Android 版 Firefox 66.0.5、Firefox ESR 60.6.3 が公開されました。拡張機能の不具合の件が修正されています。 あまのみしおさん情報ありがとうございます。


2019.05.08


2019.05.07


2019.05.06

追記

新元号「令和」への対応まとめ (2019.04.01)

 10 連休最終日? 龍大は今日も授業実施日です。

 あと、Windows 方面で画面が崩れるという話があるようです。 MS UI Gothic、MS Pゴシックで問題が起こるようです。

いろいろ (2019.05.06)
(various)

Linux Kernel 5.x < 5.0.13 (GRO packet of death)

 BGM: 「愛をとりもどせ!!

phpBB

  • phpBB 3.2.6 Release - Please Update (phpBB, 2019.04.29)

    Previous versions of phpBB allowed users to run searches that might result in long execution times and load on larger boards when using the fulltext native search engine. To combat this, we have now introduced further restrictions on search queries. We’d like to thank Snover for his report and responsible disclosure. The issue has been assigned CVE-2019-9826.
  • CVE-2019-9826

「Firefox」v66.0.4が公開 ~アドオンが利用不能になる問題を修正  「Firefox ESR」やAndroid版「Firefox」にもアップデートを提供
(窓の杜, 2019.05.06)

 Firefox 66.0.4 公開。「Firefox」でインストール済みアドオンが利用不能になる問題が発生中 (窓の杜, 2019.05.04) を修正。


2019.05.02

追記

新元号「令和」への対応まとめ (2019.04.01)

 令和 2 日目。龍大は昨日も今日も授業実施日です。

いろいろ (2019.03.26) ASUS Live Update Utility

 関連:

  • ShadowHammer:新たな情報 (Kaspersky, 2019.04.25)

    この件を調査していく中で、当社のエキスパートは、同様のアルゴリズムを使用する別の検体を発見しました。ASUSの事例と同様、これら検体はデジタル署名された以下アジア企業のバイナリを使用していました。
    • Electronics Extreme – ゾンビサバイバルゲーム『Infestation: Survivor Stories』の制作会社
    • Innovative Extremist – WebおよびITインフラサービスのプロバイダー。同社のサービスはゲーム開発にも使用されている
    • Zepetto – ビデオゲーム『Point Blank』の開発元企業

いろいろ (2019.05.02)
(various)

Cisco

Dovecot

Chrome Stable Channel Update for Desktop
(Google, 2019.04.30)

 Chrome 74.0.3729.131 公開。2 件のセキュリティ欠陥を修正。


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]