セキュリティホール memo - 2020.07

Last modified: Mon Mar 30 12:18:31 2020 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2020.07.31

追記

Twitter 著名人アカウント大規模ハッキング方面 (2020.07.20)


2020.07.30


2020.07.29

いろいろ (2020.07.29)
(various)

Python

Tomcat

Adobe 方面 (Magento)
(Adobe, 2020.07.28)

 出てます。

Firefox 79 / ESR 78.1.0 / ESR 68.11.0 公開
(Mozilla, 2020.07.28)

 出ました。セキュリティ修正を含みます。ESR 68 系列はこれで終了のはずです。

 関連:


2020.07.28

Chrome Stable Channel Update for Desktop
(Google, 2020.07.27)

 Chrome 84.0.4147.105 公開。8 件のセキュリティ修正を含む。


2020.07.23


2020.07.22

Adobe 方面 (Bridge, Photoshop, Prelude, Reader Mobile)
(Adobe, 2020.07.21)

 出てます。


2020.07.20

Twitter 著名人アカウント大規模ハッキング方面
(Twitter, 2020.07.15)

 オフィシャル

 関連報道

2020.07.28 追記:

 関連:

2020.07.31 追記:

 関連:

2020.08.03 追記:

 容疑者が逮捕されたそうです。

2020.08.05 追記:

 関連:


2020.07.17

Apple 方面 (iOS, ipadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2020.07.15)

 出ました。

 この他に Xcode 11.6 が出ているそうです。

Chrome Stable Channel Update for Desktop
(Google, 2020.07.14)

 Chrome 84.0.4147.89 が stable に。38 件のセキュリティ修正を含む。 関連:

Adobe 方面 (Creative Cloud Desktop Application, Media Encoder, Genuine Service, ColdFusion, Download Manager)
(Adobe, 2020.07.14)

 出てます。先月の Adobe 方面 (Campaign Classic, After Effects, Illustrator, Premiere Pro, Premiere Rush, Audition) で番号飛んでた奴が出てますね。

 あと、セキュリティ修正は含まれないようですが、Flash Player も 32.0.0.403 に更新されてます。

ClamAV 0.102.4 security patch released
(ClamAV, 2020.07.16)

 ClamAV 0.102.4 出ました。3 件のセキュリティ欠陥が修正されています。 内 1 件 (CVE-2020-3350) は Exploiting (Almost) Every Antivirus Software (RACK911 Labs, 2020.04.20) 関連のようです。

「PuTTY 0.74」が公開
(OSDN, 2020.07.02)

 出たのは先月です。セキュリティ修正を含みます。


2020.07.15

2020 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2020.07.15)

 出ました。今回の大物はこれだそうです: Windows Server 2003〜2019 の Microsoft DNS サーバーに buffer overflow する欠陥、攻略 DNS 応答を使って remote から無認証で local SYSTEM 権限を取得できる。

 とっとと patch をあてるのが吉ですが、 レジストリ設定による回避方法も紹介されています。

2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
(JPCERT/CC, 2020.07.15)

 Oracle 四半期定例更新出ました。

2020.08.04 追記:

 JVN#62161191 - JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性 (JVN, 2020.07.28)

OracleJDK 8 update 251 に同梱されている JavaFX および OpenJFX プロジェクトが提供する JavaFX 14.0.1 では、JavaScript から呼び出せる Java メソッドに制限を加えています。詳細はリリースノートを確認してください。

いろいろ (2020.07.15)
(various)

FFmpeg

追記

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起 (2020.07.06)


2020.07.13

いろいろ (2020.07.13)
(various)

Zoom (Windows 版)


2020.07.12


2020.07.10

追記

Firefox 78 / ESR 68.10.0 公開 (2020.07.02)

 関連:

  • Firefox 78.0.2 がリリースされた (mozillaZine, 2020.07.10)。セキュリティ修正を含む。Firefox ESR 68 系列には影響しない。

  • SeaMonkey 2.53.3 がリリースされた (mozillaZine, 2020.07.07)

    ユーザープロファイルの構成の変更に伴い、バージョン 2.49.5 以前からのアップグレードに際して以下の注意点がある。
    • マスターパスワードを利用している場合にはバージョン 2.53.1 以降へのアップデートの前にこれを解除する必要がある。設定メニューの「マスターパスワードを変更」から、パスワード欄を空白にすることでマスターパスワードを解除できる。「パスワードのリセット」機能を使うと、保存されているすべてのログイン情報が削除されるため注意が必要である。
    • アップデートの完了後には、プロファイルフォルダー内の key3.db および cert8.db の 2 つのファイルを削除する必要がある。これはログイン情報を含む古い形式のファイルである。

2020.07.08


2020.07.07

いろいろ (2020.07.07)
(various)

Wireshark

Android

LINE


2020.07.06

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
(JPCERT/CC, 2020.07.06)

 BIG-IP の Traffic Management User Interface (TMUI) に RCE だそうです。 無認証で行けちゃうみたい。

2020.07.15 追記:

 関連:

追記

Windows 10に画像ファイルを開くだけでコード実行が可能になる脆弱性が2件 (2020.07.01)


2020.07.03


2020.07.02

Firefox 78 / ESR 68.10.0 公開
(Mozilla, 2020.06.30)

 出ました。Firefox ESR 78 も出てます。

2020.07.10 追記:

 関連:


2020.07.01

Windows 10に画像ファイルを開くだけでコード実行が可能になる脆弱性が2件
(窓の杜, 2020.07.01)

 Microsoft Windows Codecs Library に欠陥があり、攻略画像ファイルを開くと任意のコードが実行される。 Exploitability Assessment: 2

 Exploitability Assessment: 2 なのに、なぜか定例外で更新。 よくわからんなあ。

 Acknowledgements に ZDI の Abdul-Aziz Hariri 氏が挙げられているので、 そのうち PUBLISHED ADVISORIES (ZDI) に掲載されるのかな。

 関連:

2020.07.06 追記:

 関連:


[セキュリティホール memo]
[私について]