セキュリティホール memo - 2018.02

Last modified: Mon Mar 30 12:18:31 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.02.27


2018.02.26


2018.02.23

いろいろ (2018.02.23)
(various)

Edge

Mailman

追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018.02.14)

 Windows 7 用のマンスリー ロールアップ KB4074598 で、IC カードリーダーを認識しなくなる不具合が発生することがあるそうです。不具合が発生する場合は KB4074598 をアンインストールし、 セキュリティのみの更新プログラム KB4074587 をインストールすることで回避できるそうです。

 Windows 10 version 1709 の累積更新プログラム KB4074588 でも、USB 接続のキーホード・マウスを利用できなくなる不具合が発生することがあるそうです (青画面の場合もあるようで)。河合さん情報ありがとうございます。PS/2 接続のキーホード・マウスは ok だそうです。 不具合が発生した場合は、KB4074588 をアンインストールするしか方法がないようです。


2018.02.22


2018.02.21


2018.02.20

追記

macOSやiOSで特定のUnicode文字列を表示させようとするとクラッシュする問題が確認される (2018.02.19)

 こちらがよくまとまっています: macOS 10.13/iOS 11のゼロ幅非接合子処理の不具合を利用しアプリをクラッシュさせる文字列が複数発見される。 (AAPL Ch., 2018.02.19)

 iOS 11.2.6、tvOS 11.2.6、watchOS 4.2.3、macOS High Sierra 10.13.3 Supplemental Update で修正されました。


2018.02.19

macOSやiOSで特定のUnicode文字列を表示させようとするとクラッシュする問題が確認される
(スラド, 2018.02.19)

 いまだにあるんですねえ、こういう話。 techcrunch 記事によると、ベータ版では既に修正されているそうです。

2018.02.20 追記:

 こちらがよくまとまっています: macOS 10.13/iOS 11のゼロ幅非接合子処理の不具合を利用しアプリをクラッシュさせる文字列が複数発見される。 (AAPL Ch., 2018.02.19)

 iOS 11.2.6、tvOS 11.2.6、watchOS 4.2.3、macOS High Sierra 10.13.3 Supplemental Update で修正されました。


2018.02.16

追記

チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃 (2017.06.28)

 US / UK 政府、NotPetya は「ほぼ確実に」ロシア軍によるものと発表。

Chrome Stable Channel Update for Desktop
(Google, 2018.02.13)

 Chrome 64.0.3282.167 公開 (Windows 版では 64.0.3282.167/168)。セキュリティ修正 1 件を含む。 iida さん情報ありがとうございます。


2018.02.15

いろいろ (2018.02.15)
(various)

Adobe Experience Manager

GNU patch


2018.02.14

2018 年 2 月のセキュリティ更新プログラム (月例)
( 日本のセキュリティチーム, 2018.02.14)

 Microsoft 2018.02 patch 出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player。Flash Player は 2/6 に先行公開された奴のことです。

 また ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス が更新されました (version 12.0)。32bit 版 Windows 10 と Microsoft HoloLens 用の更新プログラムが新たに公開されたそうです。

2018.02.23 追記:

 Windows 7 用のマンスリー ロールアップ KB4074598 で、IC カードリーダーを認識しなくなる不具合が発生することがあるそうです。不具合が発生する場合は KB4074598 をアンインストールし、 セキュリティのみの更新プログラム KB4074587 をインストールすることで回避できるそうです。

 Windows 10 version 1709 の累積更新プログラム KB4074588 でも、USB 接続のキーホード・マウスを利用できなくなる不具合が発生することがあるそうです (青画面の場合もあるようで)。河合さん情報ありがとうございます。PS/2 接続のキーホード・マウスは ok だそうです。 不具合が発生した場合は、KB4074588 をアンインストールするしか方法がないようです。

2018.03.01 追記:

 Windows 7 で IC カードリーダーを認識できなくなる不具合の件、Remote Desktop Services の無効化によっても回避できるそうです。山田さん情報ありがとうございます。

 Windows 10 version 1709 で USB キーボード・マウスが使えなくなる件は、こちらにまとまってました。「StartComponentCleanup タスク」を無効化することで予防できるそうです。

2018.03.02 追記:

 Windows 7 で IC カードリーダーを認識できなくなる不具合の件、修正プログラムが公開されました。ただし副作用があります。山田さん情報ありがとうございます。

MSから緊急アップデートが公開されました。
通常のWindows Updateとしては3月のものに含まれるとのことです。
すぐに適用する場合は Windows Catalog から適用が必要になるようです。
https://support.microsoft.com/en-us/help/4091290/march-1-2018-kb4091290
"After installing this update, SMB servers may experience a memory leak." というのが気になりますね...
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4091290

APSB18-02 - Security updates available for Adobe Acrobat and Reader
(Adobe, 2018.02.13)

 41 件のセキュリティ欠陥を修正。0-day はないみたい。Priority Rating はいずれも 2。

種別 更新版
Acrobat / Acrobat Reader DC (Continuous Track) 2018.011.20035
Acrobat / Acrobat Reader 2017 2017.011.30078
Acrobat / Acrobat Reader DC (Classic Track) 2015.006.30413 (Windows)
2015.006.30416 (Mac)

 MIURA さんから「セキュリティホールmemo経由adobeのページだけでなく窓の社でも20035となっていますが、最新は20036の気がします」との情報を頂きました (ありがとうございます)。手元の環境で更新してみたら、こうなりました。

 Acrobat / Reader XI のサポートは 2017.10.15 で終了しています。Acrobat / Acrobat Reader DC 等に移行してください。


2018.02.13

いろいろ (2018.02.13)
(various)

PostgreSQL

LibreOffice

Everything

Exim

InfoZip UnZip

追記

いろいろ (2018.01.31) Cisco ASA

 関連:

 当初の更新版では防げない、別の攻撃界面が発見され、さらなる修正版が公開されています。


2018.02.09


2018.02.08

いろいろ (2018.02.08)
(various)

Android

IO DATA MagicalFinder 対応製品 (NAS, WiFi ルーター, VPN ルーター, ネットワークチューナー)

追記

いろいろ (2018.01.31): Electron


2018.02.07

追記

APSA18-01 - Security Advisory for Flash Player (2018.02.02)

 Flash Player 更新版出ました: APSB18-03 - Security updates available for Flash Player (Adobe, 2018.02.06)。Flash Player 28.0.0.161 で CVE-2018-4877 CVE-2018-4878 を修正。0-day だったのは後者。


2018.02.06


2018.02.05

追記

VU#584653 - CPU hardware vulnerable to side-channel attacks (2018.01.12)

Chrome Stable Channel Update for Desktop (2018.02.02)

 「Google Chrome 64」が更新、ゼロデイ脆弱性が公表されたFlashプラグインも新版に (窓の杜, 2018.02.05)。Chrome の更新と内蔵 Flash Player の更新は独立事象だと思いますが、手元の Chrome for Windows で chrome://components/ を見たところ Flash Player 28.0.0.161 になってました。


2018.02.02

Chrome Stable Channel Update for Desktop
(Google, 2018.02.01)

 Chrome 64.0.3282.140 公開。セキュリティ修正 1 件を含む。

2018.02.05 追記:

 「Google Chrome 64」が更新、ゼロデイ脆弱性が公表されたFlashプラグインも新版に (窓の杜, 2018.02.05)。Chrome の更新と内蔵 Flash Player の更新は独立事象だと思いますが、手元の Chrome for Windows で chrome://components/ を見たところ Flash Player 28.0.0.161 になってました。

APSA18-01 - Security Advisory for Flash Player
(Adobe, 2018.02.01)

 Flash Player 28.0.0.137 以前に 0-day 欠陥、remote から任意のコードを実行できる。攻略 Flash コンテンツを埋め込んでいる Office 文書が電子メールで送られてきている模様。CVE-2018-4878

 現在修正作業中。更新版は 2018.02.05 の週に公開される予定。

 軽減方法:

2018.02.07 追記:

 Flash Player 更新版出ました: APSB18-03 - Security updates available for Flash Player (Adobe, 2018.02.06)。Flash Player 28.0.0.161 で CVE-2018-4877 CVE-2018-4878 を修正。0-day だったのは後者。


2018.02.01

いろいろ (2018.02.01)
(various)

Joomla

  • Joomla 3.8.4 Release (Joomla, 2018.01.30)。4 件のセキュリティ修正 (XSS x 3、SQL injection x 1) を含む。 いずれも Low Priority と分類されている。

Cisco Aggregation Services Router 9000 Series

AsusWRT httpd

  • Multiple vulnerabilities in all versions of ASUS routers (Full Disclosure ML, 2018.01.14)。いくつかの欠陥については AsusWRT 3.0.0.4.382.18495 で修正されている。修正作業中のものも複数あり。 また 3.0.0.4.376.X 以前の EoL 製品については、buffer overflow する欠陥があるそうで。


[セキュリティホール memo]
[私について]