セキュリティホール memo - 2019.01

Last modified: Wed Dec 15 12:36:33 2021 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.01.31

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに
(gigazine, 2019.01.31)

 元ねた:

2019.02.01 追記:

 iOS 11 について追記。

2019.03.18 追記:

 「スノーデン」を生んだ「NSA女性ハッカー」の「暴露」  フォーサイト-新潮社ニュースマガジン (山田 敏弘 / 時事, 2019.02.27)

2021.09.27 追記:

 iPhoneの驚異的なハッキングツール「Karma」をUAEと共に開発した元NSA職員3名が計1億8000万円超の罰金支払いへ (gigazine, 2021.09.15)

2021.12.15 追記:

 活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴 (techcrunch, 2021.12.11)

訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。
訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。

追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

 Medical Advisory (ICSMA-19-029-01) Stryker Medical Beds (2019.01.29)。医療用ベッドを追記。 最近は、こういうものも無線 LAN でつながっているのですね。


2019.01.30

Firefox 65.0 / ESR 60.5.0 公開
(Mozilla, 2019.01.29)

 出ました。

 Thunderbird 60.5.0 も出たそうです。

2019.02.04 追記:

 New Release: Tor Browser 8.0.5 (Tor Project, 2019.01.29)。Firefox ESR 60.5.0 対応など。 iida さん情報ありがとうございます。

2019.02.13 追記:

 Firefox 65.0.1 / ESR 60.5.1 が出ました。セキュリティ修正を含みます。

2019.02.18 追記:

 Thunderbird 60.5.1 も出ています。

Chrome Stable Channel Update for Desktop
(Google, 2019.01.29)

 Chrome 72.0.3626.81 が stable に。58 件のセキュリティ修正が含まれる。

 関連: 「Google Chrome 72」が正式公開 ~「TLS 1.0」「TLS 1.1」は非推奨に (窓の杜, 2019.01.30)

JVNVU#97449410 - Microsoft Exchange 2013 およびそれ以降における NTLM 中継攻撃が可能な脆弱性
(JVN, 2019.01.29)

 Exchange 2013, 2016, 2019 に欠陥。Exchange Web Services API の PushSubscriptionRequest を使って Exchange を任意の Web サーバーに接続する場合に欠陥があり、 NTLM 中継攻撃が可能となる。

 詳細はこちら:

 修正版はまだない。回避策は Mitigations の項に複数述べられている。


2019.01.29

FaceTimeのバグであなたのマイクロフォンとカメラを誰でも盗聴盗視可能に
(techcrunch, 2019.01.29)

 修正作業中だそうです。

 つづき: AppleはFaceTimeの盗聴バグを修復している間グループ通話機能を無効化 (techcrunch, 2019.01.29)。とりあえず、この対応によって盗聴盗視は不可能になっている模様。

2019.02.08 追記:

 iOS 12.1.4、macOS Mojave 10.14.3 Supplemental Update で修正されました。

2019.09.02 追記:

 iOS 12.1.4 で修正された、FaceTime とは異なる欠陥の件 CVE-2019-7286 (Foundation) CVE-2019-7287 (IOKit) の詳細が Google Project Zero から公開された。

 そして、攻撃対象はウイグル人だったという話が。

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:


2019.01.28

追記

2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)

いろいろ (2019.01.28)
(various)

phpMyAdmin

PEAR


2019.01.26

総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も
(NHK, 2019.01.25)

 shodanみたいなことやるのかと思ってたら、それどころじゃない真っ黒さだった。駄目だろこれは。

 詳細はこちら:

 関連:

2019.02.19 追記:

 関連:

2019.07.02 追記:

 関連:


2019.01.25

いろいろ (2019.01.25)
(various)

Adobe Experience Manager, Experience Manager Forms

PHP

  • News Archive - 2019 (PHP)。2019.01.10 付で PHP 5.6.40 / 7.1.26 / 7.2.14 / 7.3.1 が公開されている。

Drupal core

Moodle

Apache Subversion

Cisco Firepower

 Cisco Security Advisories and Alerts には他にもいろいろ出てる。

Ghostscript

PowerDNS Recursor

 最新は 4.1.10 のようです。https://downloads.powerdns.com/releases/ から入手できます。Horigome さん情報ありがとうございます。

Jenkins

オムロン CX-One, CX-Supervisor

横河電機 CENTUM VP, ProSafe-RS, PRM, B/M9000 VP

Symantec Reporter CLI

Norton App Lock

Juniper ATP

systemd

追記

Remote Code Execution in apt/apt-get (2019.01.23)

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows) (2019.01.23)

 iTunes 12.9.3 for Windows が公開されました。


2019.01.24

いろいろ (2019.01.24)
(various)

SCP (OpenSSH), PSCP (PuTTY), WinSCP

Marvell Avastar Wi-Fi

Ethereum Constantinople

追記

2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)

 Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。


2019.01.23

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows)
(Apple, 2019.01.22)

 今回は watchOS も同時に更新されています。

2019.01.25 追記:

 iTunes 12.9.3 for Windows が公開されました。

Changes with Apache 2.4.38
(Apache.org, 2019.01.22)

 Apache httpd 2.4.38 公開。3 件のセキュリティ欠陥 (mod_session CVE-2018-17199, mod_http2 CVE-2018-17189, mod_ssl CVE-2019-0190) が修正されている。 iida さん情報ありがとうございます。

 関連: Apach HTTP Server の脆弱性情報(Important: (mod_ssl) CVE-2019-0190 , Low: (mod_session_cookie) CVE-2018-17199) (SIOS, 2019.01.23)

Remote Code Execution in apt/apt-get
(Max Justicz, 2019.01.22)

 apt/apt-get に欠陥。HTTP リダイレクトの処理に欠陥があり、remote から任意のコードを実行できる。CVE-2019-3462

 以下のように実行することで HTTP リダイレクトを無効化でき、本欠陥を回避できる。

$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

 各 Linux ディストリビューターから修正パッケージが配布されている。

2019.01.25 追記:

 Debian,APTの脆弱性を修正した「Debian 9.7」を緊急リリース (Linux Daily Topics, 2019.01.25)


2019.01.22

追記

Firefox 64.0 / ESR 60.4.0 公開 (2018.12.14)

 Thunderbird 60.4 が出たようです。

顧客情報、令状なく取得 検察、方法記すリスト共有
(共同 / 中日, 2019.01.04)

 捜査関係事項照会の件。

 捜査関係事項照会は、捜査当局が独自に企業側に出す要請にすぎず、捜査に必要かどうか外部のチェックは働かない。取得後の使用方法なども不明で漏えいリスクもある。当局への提供は顧客本人に通知されない。

 検察が作成した「捜査上有効なデータ等へのアクセス方法等一覧表」を共同が入手。

 入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。(中略) 捜索差し押さえ許可状などの令状が必要と明示しているのは二十二種類だけ。残りの大半は捜査関係事項照会などで取得できるとしている。

 「一覧表」には「約二百九十団体」の名前があったそうで。

 対象に挙げられた企業は、主要な航空、鉄道、バスなど交通各社やクレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店などさまざま。買い物の際に付与され、加盟店で使用できるポイントカードの発行会社や、携帯電話会社も含まれている。
 入手可能とされた情報は、ICカードなどの名義人や使用履歴に加え、カード作成時に提出された運転免許証などの写し、顔写真も含まれる。リストにあるドラッグストアやレンタルビデオ店、書店の購入情報を加えれば、対象者の健康状態や思想信条、趣味嗜好(しこう)を把握することも可能だ。

 当該の「一覧表」の写真が、検察、顧客情報入手方法リスト化  290団体分保有 (福井新聞) などにある。 雰囲気しかわからないが。

 で、共同はその「約二百九十団体」にアンケートを取ったそうで。

 共同は取材を進め、スマホゲーム運営会社から位置情報が漏れていたり、

 ポイントカード会社からさまざまな情報が漏れていたりを報道しています。

 T カード運営の CCC は、2012 年からユルユルにしましたと告白。

 他の会社は?

 ショボい……。

 関連:

2019.02.20 追記:

 関連:


2019.01.21

Android版「Twitter」アプリで意図せず“鍵”が外れる不具合 ~4年以上前から
(窓の杜, 2019.01.21)

 これは怖い。不具合でした、では済まんだろ。

この不具合の影響を受けるのは2014年11月3日から2019年1月14日までの間に、登録しているメールアドレスなど、アカウントに関する設定をAndroid版「Twitter」アプリで変更したユーザー。iOS版「Twitter」アプリや“twitter.com”に影響はない。

 「影響を受けるのは」ではなく、影響を受けた可能性があるのは、のようですが、当該事象がどのくらいの割合で発生したのかといった詳細は不明。


2019.01.18

追記

これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)

 知らないってのは恐い - DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) (インターノット崩壊論者の独り言, 2019.01.17)。 DNS温泉 番外編(2019年2月) において、解説とデモが行われるそうです。


2019.01.17


2019.01.16

Oracle Critical Patch Update Advisory - January 2019
(Oracle, 2019.01.15)

 Oracle 四半期定例出ました。 Java SE は 8u201/202 と 11.0.2 LTS が出ています。 VirtualBox は 6.0.2 と 5.2.24 が出ています。

 そういえば Amazon Corretto はどうなっているのかなと思って見てみたら、 8u192 の preview2 が最新のようで。 Change Log for the Amazon Corretto 8 Preview (AWS)


2019.01.15


2019.01.11

追記

2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)

 適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。


2019.01.09

いろいろ (2019.01.09)
(various)

Wireshark

2019 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.01.09)

 出ました。IE / Edge, Windows, Office, ChakraCore, .NET Framework, Flash Player, ASP.NET, Exchange, Visual Studio。 以下、セキュリティ更新プログラム ガイド から拾ったもの:

IE

Edge

Windows

Windows カーネル

Windows Hyper-V

Jet データベース エンジン

Office

Skype for Android

CakraCore

.NET Framework

Flash Player

ASP.NET

Exchange

Visual Studio

 あと、たとえば January 8, 2019—KB4480116 (OS Build 17763.253) (Windows 10 version 1809) を見ると、Known issues として

After installing this update, third-party applications may have difficulty authenticating hotspots.

なんてのが出ているのだが、どのくらいの頻度で影響するものなのか不明。

2019.01.11 追記:

 適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。

2019.01.24 追記:

 Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。

2019.01.28 追記:

 1 月のセキュリティ パッチで RDP 認証エラー(7/2008/2008R2、修正パッチあり、説明なし) (山市良のえぬなんとかわーるど, 2019.01.16)。 2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10) の件。

 1月の月例パッチが「Excel 2010」「Access 2010」を動作不能にする問題、修正へ  更新プログラム「KB4462157」がダウンロードセンターで提供される (窓の杜, 2019.01.21)

Security updates available for Flash Player | APSB19-01
(Adobe, 2019.01.08)

 Flash Player 32.0.0.114 公開。セキュリティ修正は含まれていない、とされている。 Priority: 3。


2019.01.08

 明日は Windows Update 配信日です。

追記

2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)

いろいろ (2019.01.08)
(various)

Android 版 Skype

2019.01.09 追記:

Windows MsiAdvertiseProduct 関数

横河電機 Vnet/IP オープン通信ドライバ

Django

Apache Tika

Apache NetBeans

Apache Karaf

Apache Thrift

ファイルシステムドライバ Dokany


2019.01.07

追記

Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-02 (2018.12.28)

 出てます: Security Bulletin for Adobe Acrobat and Reader | APSB19-02 (Adobe, 2019.01.03)。Zero Day Initiative からの 2 件を修正。

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.010.20069
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30113
Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30464

 関連:


[セキュリティホール memo]
[私について]