セキュリティホール memo - 2022.12

Last modified: Tue Jan 17 14:53:58 2023 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.12.21


2022.12.20

いろいろ (2022.12.20)
(various)

Anker Eufy セキュリティカメラ

2023.01.17 追記:

2022.12.19

いろいろ (2022.12.19)
(various)

VMware ESXi / Workstation / Fusion

追記

2022 年 12 月のセキュリティ更新プログラム (月例) (2022.12.15)

 Windows 10 用 KB5021233 でブルー画面になる事例があるそうで。

  • 今月のパッチでWindows 10端末がブルースクリーンに、Microsoftが修復方法を案内  Windows回復環境(WinRE)での作業が必要 (窓の杜, 2022.12.19)

    同社によると、この問題は「C:¥windows¥system32」と「C:¥windows¥system32¥drivers」にある「hidparse.sys」のファイルバージョンが一致せず、クリーンアップ時に署名検証に失敗するのが原因だという(Windowsが「C:¥windows」にインストールされていると仮定)。

    手元の Windows 10 ではそもそも C:¥windows¥system32¥hidparse.sys が存在しません。 C:¥windows¥system32¥drivers¥hidparse.sys はあります。 C:¥windows¥system32¥hidparse.sys が存在する環境で問題が発生する、ということなのかな。

0-day いろいろ (2022.12.15) (2022.12.15) Fortinet FortiOS

 JPCERT/CC 注意喚起が改訂されている。

  • FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起 (JPCERT/CC, 2022.12.19 更新)

    2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、本脆弱性の影響を受ける対象バージョンとして、FortiOSバージョン6.0系、5系が追加されたため、上記の一覧の情報も更新しました。
    Fortinetのアドバイザリが更新され、修正済みバージョンとしてFortiOSバージョン6.0系に関する情報が追加されたため、上記一覧の情報も更新しました。 最新の情報はFortinetのアドバイザリをご確認ください。

    関連: Fortinet製品 ファームウェアサポート終了日一覧表 (CTC エスピー, 2022.11.16)。FortiOS 6.0 は サポート終了済だけど本件対応の更新版が用意されたと。 FortiOS 5.x はサポート終了済だし更新版も用意されないと。

    あとこれ。2022.12.14 時点で追記されてたようだけど、見逃してた。

    2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、本脆弱性の回避策としてSSL-VPN機能の無効化が追加されています。

Firefox 108.0 / ESR 102.6.0、Firefox for Android 108、Thunderbird 102.6.0 公開 (2022.12.14)

 Firefox 108.0.1 がリリースされました。セキュリティ修正はありません。


2022.12.16

いろいろ (2022.12.16)
(various)

LINE アプリ Android 版

  • Keep機能に関するお知らせとお詫び (LINE, 2022.12.15)。2015.08.12 以降の Android 版 LINE アプリでは、特定の条件が成立すると、 アカウントの削除あるいは引き継ぎ時に以下の事象が発生する。

    「LINE」アプリが上記の状態となった場合、Keep機能に保存されたデータを、同一のAndroid端末を後に使用した人が、別のLINEアカウントから閲覧することができたといった問題が発生した可能性があります。

    2022.10.25 公開の バージョン 12.18.0 以降で修正されている。

    また、当社で確認が可能であった期間(2022年9月7日から2022年9月27日)に本事象が発生した可能性があるユーザーに対してお知らせをしております。

    脆弱性が発現していた期間と比べると、あまりにも短い……。

  • Android版「LINE」の「Keep」機能に脆弱性 ~実装時から7年以上、気付かれず存在 (窓の杜, 2022.12.16)

OpenSSL

Redmine

Buffalo Wi-Fi ルーター / 中継機

  • ルーター等の一部商品における複数の脆弱性とその対処方法 (Buffalo, 2022.12.05)。 Wi-Fi ルーター WSR-3200AX4S WSR-3200AX4B WSR-2533DHP WSR-2533DHP2 WSR-A2533DHP2 WSR-2533DHP3 WSR-A2533DHP3 WSR-2533DHPL WSR-2533DHPL2 WSR-2533DHPLS WCR-1166DS および Wi-Fi 中継機 WEX-1800AX4 WEX-1800AX4EA が該当。いずれも修正版ファームウェアが用意されている。


2022.12.15

2022 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.12.14)

 出ました。

This release consists of security updates for the following products, features and roles.

 今月は Servicing Stack Updates はありません。

 0-day は 2 件。

 Sysinternals は今月も sysmon 。

 Windows Kerberos Elevation of Privilege Vulnerability CVE-2022-37967 への対応は、2番目の展開フェーズに移行。

 関連:

2022.12.19 追記:

 Windows 10 用 KB5021233 でブルー画面になる事例があるそうで。

2023.01.13 追記:

 Windows 10 用 2022.12 patch (KB5021233) 適用でブルー画面になることがある問題は 2023.01 patch (KB5022282) で修正されたそうです。

0-day いろいろ (2022.12.15)
(various)

Fortinet FortiOS

2022.12.19 追記:

 JPCERT/CC 注意喚起が改訂されている。

  • FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起 (JPCERT/CC, 2022.12.19 更新)

    2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、本脆弱性の影響を受ける対象バージョンとして、FortiOSバージョン6.0系、5系が追加されたため、上記の一覧の情報も更新しました。
    Fortinetのアドバイザリが更新され、修正済みバージョンとしてFortiOSバージョン6.0系に関する情報が追加されたため、上記一覧の情報も更新しました。 最新の情報はFortinetのアドバイザリをご確認ください。

    関連: Fortinet製品 ファームウェアサポート終了日一覧表 (CTC エスピー, 2022.11.16)。FortiOS 6.0 は サポート終了済だけど本件対応の更新版が用意されたと。 FortiOS 5.x はサポート終了済だし更新版も用意されないと。

    あとこれ。2022.12.14 時点で追記されてたようだけど、見逃してた。

    2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、本脆弱性の回避策としてSSL-VPN機能の無効化が追加されています。

Citrix Application Delivery Controller、Citrix Gateway

Adobe 方面 (Illustrator、Campaign Classic、Experience Manager)
(Adobe, 2022.12.13)

 いずれも Priority: 3。

Apple 方面 (iOS / iPadOS、tvOS、watchOS、macOS、Safari、iCloud for Windows)
(Apple, 2022.12.13)

 出ました。

iOS / iPadOS

tvOS

watchOS

macOS

Safari

iCloud for Windows

 関連:

追記

Apple、「iOS 16.1.2」を公開 ~衝突事故検出機能が最適化、セキュリティ修正も (2022.12.02)

 iOS / iPadOS 15.7.2、tvOS 16.2、macOS 13.1、Safari 16.2 公開とあわせて、情報が公開されました。

  • About the security content of iOS 16.1.2 (Apple, 2022.11.30)

    Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.1.

    iOS 15.1 以降では当該攻撃は無効だった、と言いたいのだろうか。 しかしそれなら修正する必要もないはずなので、やはり 0-day なのだろう。


2022.12.14

Firefox 108.0 / ESR 102.6.0、Firefox for Android 108、Thunderbird 102.6.0 公開
(Mozilla, 2022.12.13)

 出ました。セキュリティ修正を含みます。

2022.12.19 追記:

 Firefox 108.0.1 がリリースされました。セキュリティ修正はありません。

Chrome Stable Channel Update for Desktop
(Google, 2022.12.13)

 Chrome 108.0.5359.124 (Mac / Linux)、Chrome 108.0.5359.124/.125 (Windows) 公開。 8 件のセキュリティ修正を含む。


2022.12.13

アンチウイルスやEDRを逆手に取りWindowsを破壊する“合気道ワイパー”
(PC Watch, 2022.12.13)

 次世代ワイパーとして、アンチウイルスソフトや EDR ソフトの脆弱性を利用するようなワイパーを考えてみた、という話。実際に試したところ、 Microsoft Defender / Defender for Endpoint、 SentinelOne EDR、 Trendmicro Apex One、 Avast / AVG で実現できてしまったと。

冒頭で述べた通り、このEDRやAVの不具合は既に報告済みで、問題が存在する製品に対して既に修正が適用されている。
The following CVEs have been issued by three of the vendors: 

 こちら:

 あれ、SentinelOne EDR は?


2022.12.12

いろいろ (2022.12.09)
(various)

Python

Wireshark

追記

2022 年 11 月のセキュリティ更新プログラム (月例) (2022.11.09)

 不具合情報。

 今のところ、確実な対応方法はアンインストールしかない模様。

 あと、修正された欠陥 Windows Scripting Languages Remote Code Execution Vulnerability CVE-2022-41128 の解説:


2022.12.08


2022.12.07


2022.12.06


2022.12.05

Chrome Stable Channel Update for Desktop
(Google, 2022.12.02)

 Chrome 108.0.5359.94 (Mac / Linux) および 108.0.5359.94/.95 (Windows) 公開。0-day 欠陥 1 件 CVE-2022-4262 が修正されている。


2022.12.02

Apple、「iOS 16.1.2」を公開 ~衝突事故検出機能が最適化、セキュリティ修正も
(窓の杜, 2022.12.01)

 https://support.apple.com/en-us/HT201222 では「details available soon 」 となっている。「This update has no published CVE entries」ではないことから、何らかのセキュリティ修正がなされている模様。

2022.12.15 追記:

 iOS / iPadOS 15.7.2、tvOS 16.2、macOS 13.1、Safari 16.2 公開とあわせて、情報が公開されました。

追記

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開 (2022.11.16)

 Thunderbird 102.5.1 出ました。セキュリティ修正を含みます。


[セキュリティホール memo]
[私について]