セキュリティホール memo - 2021.10

Last modified: Thu Jun 9 11:50:55 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.10.29

追記

Apple 方面 (iOS / iPadOS / tvOS 15.1、watchOS 8.1、macOS 12.0.1 等) (2021.10.28)

 Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection (Microsoft, 2021.10.28)。macOS 12.0.1 / 11.6.1 / 2021-007 Catalina における Apple の発表では zsh の修正とされている件について。 CVE-2021-30892

Microsoft has discovered a vulnerability that could allow an attacker to bypass System Integrity Protection (SIP) in macOS and perform arbitrary operations on a device. We also found a similar technique that could allow an attacker to elevate their privileges to root an affected device.

Chrome Stable Channel Update for Desktop
(Google, 2021.10.28)

 Chrome 95.0.4638.69 公開。8 件のセキュリティ修正を含む。内 2 件 CVE-2021-38000 CVE-2021-38003 は 0-day。 どちらも報告者に Google Threat Analysis Group の人が含まれている。


2021.10.28

Apple 方面 (iOS / iPadOS / tvOS 15.1、watchOS 8.1、macOS 12.0.1 等)
(Apple, 2021.10.25)

 出てます。

2021.10.29 追記:

 Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection (Microsoft, 2021.10.28)。macOS 12.0.1 / 11.6.1 / 2021-007 Catalina における Apple の発表では zsh の修正とされている件について。 CVE-2021-30892

Microsoft has discovered a vulnerability that could allow an attacker to bypass System Integrity Protection (SIP) in macOS and perform arbitrary operations on a device. We also found a similar technique that could allow an attacker to elevate their privileges to root an affected device.

BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2021-25219) - バージョンアップを推奨 -
(JPRS, 2021.10.28)

 BIND 9.x の lame cache 実装に欠陥があり、攻略 DNS サーバーを用いて lame cache の処理に大量の CPU が消費される状況を生じさせることが可能。 CVE-2021-25219

 BIND 9.11.36 / 9.16.22 / 9.17.19 で対応されている。 また named.conf で lame-ttl 0; を設定することで回避できる。


2021.10.27


2021.10.26


2021.10.25

追記

Firefox 93.0 / ESR 91.2 / ESR 78.15 公開 (2021.10.06)

 Thunderbird 91.2.1 が公開されました。 日本語版 Thunderbird 78 系列の利用者にも更新の案内が出ているようです。 手元の日本語版 Thunderbird 78 も 91.2.1 に更新しました。とりあえず問題なく動作しているように見えます。


2021.10.22

追記

iOS 14.6にゼロクリック脆弱性が存在、政府が人権活動家の監視に利用していたとの報告  イスラエル企業が開発したスパイウェア「Pegasus」によるもの (2021.07.27)

Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (2021.09.08)


2021.10.21

Chrome Stable Channel Update for Desktop
(Google, 2021.10.19)

 Chrome 95.0.4638.54 が stable に。19 件のセキュリティ修正を含む。

追記

Oracle Critical Patch Update Advisory - October 2021 (2021.10.20)

 Liberica JDK も 8u312b07、11.0.13+8 が用意されていました。

 あとこちら: JDK 17.0.1, 11.0.13, 8u311, and 7u321 Have Been Released! (Oracle, 2021.10.20)。7u321 というのがあるのですね。


2021.10.20

追記

2021 年 10 月のセキュリティ更新プログラム (月例) (2021.10.13)

 不具合情報:

Oracle Critical Patch Update Advisory - October 2021
(Oracle, 2021.10.19)

 Oracle 四半期定例 patch 出ました。 Java SE 17.0.1 / 11.0.13 / 8u311、VirtualBox 6.1.28 などが公開されています。

 関連:

2021.10.21 追記:

 Liberica JDK も 8u312b07、11.0.13+8 が用意されていました。

 あとこちら: JDK 17.0.1, 11.0.13, 8u311, and 7u321 Have Been Released! (Oracle, 2021.10.20)。7u321 というのがあるのですね。


2021.10.19


2021.10.18


2021.10.15

「Kaspersky Endpoint Security Cloud」、AV-TESTにおいてランサムウェアの100%ブロックを実証
(Kaspersky / PR TIMES, 2021.10.12)

 AV TEST の Advanced Endpoint Protection: Ransomware Protection test (AV TEST, 2021.09.30) において Kaspersky Endpoint Security Cloud 11.6.0.394 のみが 100% の結果を達成。 何をテストしたのかについては、ランサムウェアに対するセキュリティ製品の実効性を見る (Kaspersky, 2021.10.12) が詳しい。 特に違いが出たのはこの部分:

シナリオ2:リモート暗号化からユーザーファイルを守る
続いては、ローカルの共有フォルダー内にあるユーザーファイル(ローカルネットワークを通じてアクセス可能なファイル)に対し、同じネットワーク上にある別のコンピューターから攻撃が行われるというシナリオです。この「別のコンピューター」にはセキュリティ製品がインストールされていなかったために攻撃者がランサムウェアを実行してローカルファイルを暗号化できた、さらに、ランサムウェアは近くのコンピューターにアクセス可能な情報がないかどうか探索を始める、といった攻撃を想定しています。使用されたマルウェアファミリーは、Avaddon、Conti、Fonix、Limbozar、Lockbit、Makop、Maze、Medusa(AKO)、Nefilim、Phobos、Ragnar Locker、RansomExx(別名:Defray777)、Revil(別名:Sodinokibi、Sodin)、Ryukです。

 多くのアンチウイルス製品が 0% (!!!!!) な中、Kaspersky は 100% を達成。 シマンテック SEP 14.3 RU2 は 50% になっている。14.3 RU3 ならどういう結果になるのだろう。

シナリオ3:概念実証ランサムウェアからユーザーファイルを守る
第3のシナリオでは、これまでに遭遇したことのない、したがってマルウェアデータベースに(仮定としても)存在するはずのないランサムウェアに、各製品がどう対処するかを見ました。まだ知られていない脅威を特定するには、マルウェアのふるまいに反応するプロアクティブな技術を用いるしかありません。テストに先立っては、サイバー犯罪者が実際にマルウェアを作成する場合のような手法で、既存のセキュリティ製品による検知を避ける14種類のランサムウェアサンプルが、テスト用に作成されました。

 ここでも Kaspersky は 100% を達成。続くのは Watchguard Endpoint Security 8.0.18 の 86%。 シマンテック SEP 14.3 RU2 は 20% でしかない。 うひー。


2021.10.14

AppleがAndroidのマルウェアの実態を報告 「サイドローディングが元凶」と指摘
(林信行 / ITmedia, 2021.10.14)

 Epic Games 方面があるので、そういう理屈が成立してくれないと困るということですか。 直しても直しても iMessage 経由で一撃でハクられ続ける製品をつくってる会社が何言ってるの、って感じしますけどね。 自由を大いに犠牲にしてまで Store を固めたにもかかわらず、製品全体としては全く安全じゃない、というのが今の iPhone なのでねえ。

 サイドローディングを許していない現在のiOSでは、そもそもリンクをクリックしてアプリをダウンロードができない(企業ユーザーかアプリのテストユーザーなど特殊なケースはあるが、その場合もダウンロードできるのは指定のアプリだけだ)。万が一、アプリを入れることができても、Appleも署名した証書をインストールしていないとアプリが起動できない。
 サイドローディングを認めさせようとする人たちには、ぜひともサイドローディングをしても、こういったマルウェアを防げるという具体的なアイディアを示してほしいと思う。

 はぁ。Apple は 1984 的独裁企業になっちゃったので、リスクを被ってでも自由が必要だ、 という話なんですけどね。 Apple がまともなしくみを提供しないからサイドローディング必要論が出てきてるんですよ? もはや Apple は家電屋ではなくインフラ屋なのだけど、独裁のインフラ屋では困るのです。

いろいろ (2021.10.14)
(various)

Trend Micro Apex One、ウイルスバスター コーポレートエディション、ウイルスバスター ビジネスセキュリティ、ウイルスバスター ビジネスセキュリティサービス

Node.js


2021.10.13

Adobe 方面 (Acrobat / Reader, Reader Mobile, Connect, ops-cli, Commerce, Campaign Standard)
(Adobe, 2021.10.12)

 出ました。Acrobat / Reader, Connect, Commerce, Campaign Standard は Priority: 2、 他は 3。

 (あとで書く予定)

2021 年 10 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.10.13)

 出ました。

 0-day は 4 件で、内 1 件は実際に攻撃を受けているそうで。 まだ攻撃は確認されていない 3 件はいずれも Exploitability Assessment: Exploitation Less Likely (悪用される可能性は低い) になってはいるけど……。

 Exploitation More Likely (悪用される可能性が高い) になっているのは以下:

 印刷スプーラーねた、あいかわらず続いていたんですね。

 関連:

2021.10.20 追記:

 不具合情報:

2022.04.26 追記:

 2022.04.25 付で Known Exploited Vulnerabilities Catalog (CISA) に登録されたもの:

Apache OpenOffice 4.1.11 Release Notes
(Apache.org, 2021.10.11 更新)

 Apache OpenOffice 4.1.11 が 2021.10.06 に公開。7 件のセキュリティ修正を含む。

CVE-2021-33035 - Buffer overflow from a crafted DBF file
CVE-2021-40439 - Billion Laughs
CVE-2021-28129 - DEB packaging for Apache OpenOffice 4.1.8 installed with a non-root userid and groupid
CVE-2021-41830 - #1 Content Manipulation with Certificate Double Attack
CVE-2021-41830 - #2 Macro Manipulation with Certificate Double Attack
CVE-2021-41831 - #3 Timestamp Manipulation with Signature Wrapping
CVE-2021-41832 - #4 Content Manipulation with Certificate Validation Attacka

2021.10.12

追記

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 (2021.10.06)

About the security content of iOS 15.0.2 and iPadOS 15.0.2
(Apple, 2021.10.11)

 iOS / iPadOS 15.0.2 公開。remote から任意のコードをカーネル権限で実行できる IOMobileFrameBuffer の 0-day 欠陥 CVE-2021-30883 が修正されている。

Chrome Stable Channel Update for Desktop
(Google, 2021.10.07)

 Chrome 94.0.4606.81 公開。4 件のセキュリティ修正を含む。0-day は無いようです。


2021.10.11

追記

Firefox 93.0 / ESR 91.2 / ESR 78.15 公開 (2021.10.06)

 Thunderbird 91.2.0 が公開されました。現時点では、英語版についてのみ 78 系列からの自動更新が行われているそうです。となると、 Thunderbird 78.15 は出ないということなんですかね。 いずれにせよ、日本語版 Thunderbird 78 系列の利用者は、もうしばらく待つのがよさそうです。

IoT機器、脆弱性放置12万台 サイバー攻撃の恐れ
(日経, 2021.10.09)

 だそうです。

調査はセキュリティースタートアップのゼロゼロワン(東京・渋谷)が提供するシステムを使い実施した。ネットに接続して稼働している国内全てのIoT機器を検出でき、IPアドレスなど外部から分かる情報を基に、機器のソフトウエアのバージョンを確認。メーカーがサポート切れを公表している機器を判別できる。

 Karma (ゼロゼロワン) を使った調査、という理解でいいのかな。 さまざまな会社製のさまざまな機器、計 12 万台がヤバい状態だと。

パソコン周辺機器大手のエレコムは7月、2017年11~12月に発売した家庭向けルーターの基盤ソフトの欠陥を「ライセンス上の理由」から修正しないと発表した。ソフトに欠陥が見つかったものの、そのソフトをエレコム側で改変できない使用条件だったとみられる。ソフトメーカーが修正を断ればメーカーが対処できなくなる典型的な事例となった。

 この件かな:

 エレコムの web ページにある文言は「対象製品のアップデートサービスは終了しております」なのだけど、 それが「ライセンス上の理由」なのだそうで。

通信業界を監督する立場の総務省も事態を問題視している。IoT機器のガイドラインの見解をこのほど明確化。(ソフト会社が対応できる)20年4月以降に発売したルーターや監視カメラなどの基盤ソフトに脆弱性が発覚した場合、「必ず修正できる機能を備えることが求められる」(総合通信基盤局電気通信事業部電気通信技術システム課)とした。対応を怠ると通信規格に適合していることを示す「技術基準適合認定(技適)」が下りず、販売できない。

 この件かな:


2021.10.08

追記

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 (2021.10.06)

 2.4.50 では直り切っていなかったそうで、2.4.51 が出ています。iida さん情報ありがとうございます。


2021.10.07

いろいろ (2021.10.07)
(various)

Apple Pay の VISA

  • Apple PayのVISA、勝手に決済される脆弱性 (PC Watch, 2021.10.04)

    この脆弱性の詳細については、Appleが2020年10月、VISAが2021年5月に開示しており、脆弱性の深刻さを認めているものの、どちらが修正を実装すべきか合意に至っていない状態。

    クソすぎる。

Android


2021.10.06

Firefox 93.0 / ESR 91.2 / ESR 78.15 公開
(Mozilla, 2021.10.05)

 出ました。セキュリティ修正を含みます。 Thunderbird 78.15 はまだ出ていないようです。

 関連:

2021.10.11 追記:

 Thunderbird 91.2.0 が公開されました。現時点では、英語版についてのみ 78 系列からの自動更新が行われているそうです。となると、 Thunderbird 78.15 は出ないということなんですかね。 いずれにせよ、日本語版 Thunderbird 78 系列の利用者は、もうしばらく待つのがよさそうです。

2021.10.25 追記:

 Thunderbird 91.2.1 が公開されました。 日本語版 Thunderbird 78 系列の利用者にも更新の案内が出ているようです。 手元の日本語版 Thunderbird 78 も 91.2.1 に更新しました。とりあえず問題なく動作しているように見えます。

Chrome Stable Channel Update for Desktop
(Google, 2021.09.30)

 そういえば Chrome 94.0.4606.71 出てたんでした。 0-day 2 件を含む 4 件のセキュリティ修正。

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
(JPCERT/CC, 2021.10.06)

 Apache HTTP Server 2.4.49 に (のみ) パストラバーサルを許す欠陥があり、 特定の条件において remote から任意のファイルを取得できる。 既に PoC が公開されている。 CVE-2021-41773

 CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited (tenable, 2021.10.05)

This vulnerability only impacts Apache HTTP Server version 2.4.49 with the “require all denied” access control configuration disabled.

 Apache HTTP Server 2.4.50 で修正されている。 2.4.50 では、この他にも null pointer dereference in h2 fuzzing CVE-2021-41524 が修正されている。

 iida さん情報ありがとうございます。

2021.10.08 追記:

 2.4.50 では直り切っていなかったそうで、2.4.51 が出ています。iida さん情報ありがとうございます。

2021.10.12 追記:

 Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた (piyolog, 2021.10.10)


2021.10.05

追記

FORCEDENTRY - NSO Group iMessage Zero-Click Exploit Captured in the Wild (2021.09.14)

 ついさっき気がついた orz のですが、iOS 12.5.5 が出ていたのですね。 CVE-2021-30860 (CoreGraphics)、 CVE-2021-30858 (WebKit)、 CVE-2021-30869 (XNU) が修正されている。 CVE-2021-30869 も 0-day。

 CVE-2021-30869 (XNU) については セキュリティアップデート 2021-006 Catalina でも修正されている。

 CVE-2021-30869 なのだが、なぜか MITRENIST では rejected になっている。よくわからん。


2021.10.04


2021.10.01

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
(ワルブリックス株式会社, 2021.10.01)

 あらまあ。こんな問題があったのですね。 関連:

2021.10.04 追記:

 関連:

SonicWall製のSMA100シリーズの脆弱性(CVE-2021-20034)に関する注意喚起
(JPCERT/CC, 2021.10.01)

 SonicWall SMA 100 シリーズ (SMA 200, 210, 400, 410, 500v) にセキュリティ欠陥。 remote から無認証で任意のファイルを削除でき、結果として管理者権限を奪取できる。 CVE-2021-20034

 ファームウェア 10.2.1.1-19sv / 10.2.0.8-37sv / 9.0.0.11-31sv で修正されている。


[セキュリティホール memo]
[私について]