セキュリティホール memo - 2024.01

Last modified: Sat Jan 6 15:51:34 2024 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2024.01.30


2024.01.29


2024.01.26

Firefox 122.0 / ESR 115.7.0、Thunderbird 115.7.0 公開
(Mozilla, 2024.01.23)

 そういえば出てました。

Chrome Stable Channel Update for Desktop
(Google, 2024.01.23)

 Chrome 121.0.6167.85 (Mac / Linux) および Chrome 121.0.6167.85/.86 (Windows) が stable に。 17 件のセキュリティ修正を含む。

 Android 版: Chrome for Android Update (Google, 2024.01.23)。Chrome 121 (121.0.6167.101) for Android。

いろいろ (2024.01.26)
(various)

OpenSSL

エレコム WiFi ルーター WRC-X1800GS-B / WRC-X1800GSA-B / WRC-X1800GSH-B / WRC-X6000XS-G / WRC-X6000XST-G

ヤマハ WiFi アクセスポイント WLX222 / WLX413 / WLX212 / WLX313 / WLX202


2024.01.25


2024.01.23

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2024.01.22)

 0-day CVE-2024-23222 の修正を含みます。 いつもなら遅れ気味の iOS / iPadOS 15 / 16 系アップデートも同時公開されていますが、 iOS / iPadOS 15.8.1 では CVE-2024-23222 が修正されているわけではないことに注意。

2024.02.05 追記:

 Apple Vision Pro 用 visionOS の修正が出ました。 CVE-2024-23222 の修正です。


2024.01.22

追記

2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)

 KB5034441 の件:

いろいろ (2024.01.22)
(various)

トレンドマイクロ Deep Security Agent(Windows版)

NetScaler ADC / Gateway

Apache Tomcat

GnuTLS

GNU coreutils (split)

X.Org X server / Xwayland

2024年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
(JPCERT/CC, 2024.01.17)

 そういえば出てました。 Oracle Critical Patch Update Advisory - January 2024 (Oracle, 2024.01.16)。


2024.01.19

いろいろ (2024.01.19)
(various)

Tianocore EDK II および EDK II ベースの UEFI 実装

VMware Aria Automation、VMware Cloud Foundation (Aria Automation)

GitLab

Drupal core


2024.01.18


2024.01.17

追記

いろいろ (2024.01.12) Ivanti Connect Secure / Ivanti Policy Secure

  • ヤラレたか否かのチェックには Integrity Check Tool (ICT) を使うのだそうです。 ICT には internal ICT と external ICT の 2種類があり、 両方 clean であれば問題なしと判断できるようです。

    • Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887 (ivanti.com, 2024.01.16)

      Both the internal and external ICT successfully identifies the post-advisory activity. If your ICT scans were clean, you are not affected by this activity.

      で、その ICT とやらはどこにあるのよ? と思ったら、

      Customers can access direct downloads for the Mitigation and ICT here login required.
  • Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.17 更新) にはさらに興味深い情報があって、

    本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。

    再起動……。

  • Ivanti Connect Secure VPN Exploitation Goes Global (volexity.com, 2024.01.15)

中国当局がAirDropの暗号化を突破して通信者の特定に成功したと発表&解析ツールのスクリーンショットも公開
(gigazine, 2024.01.10)

 北京市司法局 (sfj.beijing.gov.cn) が発表しているのですね。 対象となる iOS バージョンなどは記載されていない。

 これは 2019 年に指摘済の問題なのだという。 しかし Apple は直す気がまるでないらしい。

Chrome Stable Channel Update for Desktop
(Google, 2024.01.16)

 Chrome 120.0.6099.234 (Mac) / 120.0.6099.224 (Linux) / 120.0.6099.224/225 (Windows) 公開。 0-day CVE-2024-0519 を含む 4 件のセキュリティ修正が施されている。

 Android 版も出てます: Chrome for Android Update (Google, 2024.01.16)。Chrome 120 (120.0.6099.230) for Android。

2024.01.18 追記:

 「Microsoft Edge」でもスクリプトエンジン「V8」のゼロデイ脆弱性が修正  v120.0.2210.144にアップデートされているかどうか確認を (窓の杜, 2024.01.18)


2024.01.16

追記

2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)

 KB5034441 の件の記事:

 あと CVE 一覧。48 MS CVE + 5 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

いろいろ (2024.01.12) Ivanti Connect Secure / Ivanti Policy Secure


2024.01.15

追記

Stuxnet worm 'targeted high-value Iranian assets' (2010.09.24)

カメラ付き顔認識体表温度計を中古で買ったら中に全員の顔写真以下略って全部言っちゃった! (2023.05.10)

 別会社の別製品だけど関連だと思うので、こちらに追記しますね。


2024.01.12

いろいろ (2024.01.12)
(various)

Adobe Substance 3D Stager2

Ivanti Connect Secure / Ivanti Policy Secure

2024.01.16 追記:
2024.01.17 追記:
  • ヤラレたか否かのチェックには Integrity Check Tool (ICT) を使うのだそうです。 ICT には internal ICT と external ICT の 2種類があり、 両方 clean であれば問題なしと判断できるようです。

    • Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887 (ivanti.com, 2024.01.16)

      Both the internal and external ICT successfully identifies the post-advisory activity. If your ICT scans were clean, you are not affected by this activity.

      で、その ICT とやらはどこにあるのよ? と思ったら、

      Customers can access direct downloads for the Mitigation and ICT here login required.
  • Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.17 更新) にはさらに興味深い情報があって、

    本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。

    再起動……。

  • Ivanti Connect Secure VPN Exploitation Goes Global (volexity.com, 2024.01.15)

2024.01.22 追記:

Trend Micro Apex One / Trend Micro Apex One SaaS

Fortinet FortiOS / FortiProxy

Juniper Junos OS / Junos OS Evolved

OpenSSL

GNU inetutils ftpd, rcp, rlogin, rsh, rshd, uucpd

Apache OpenOffice

TP-Link Archer AX3000 / AX5400 / AXE75、Deco X50 / XE200

Chrome Stable Channel Update for Desktop
(Google, 2024.01.09)

 Chrome 120.0.6099.216 (Mac / Linux) および Chrome 120.0.6099.216/217 (Windows) 公開。 1件のセキュリティ修正を含む。

 関連:

追記

SMTP Smuggling (2023.12.25)

 CVE-2023-51766: Exim: SMTP smuggling (oss-sec ML, 2023.12.29)。Exim 4.97.1 で対応。

2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)

 KB5034441 の件、回復パーティション拡張用のオフィシャルスクリプトが公開されました。 Windows 10 バージョン 2004 以降 (Windows 11 を含む) 用と、 Windows 10 / 11 全バージョン用です。よりロバストなので前者が推奨だそうです。

 手元で失敗していた Windows 10 機 2 台に適用してみたところ、うまくいったようです。

 関連:


2024.01.11

追記

Firefox 121.0 / ESR 115.6.0、Thunderbird 115.6.0 公開 (2023.12.20)

 Firefox 121.0.1、Thunderbird 115.6.1 公開。セキュリティ修正は無いみたい。

2024 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.01.09)

 Microsoft 2024.01 patch 出ました。 今回 0-day 修正はありません。

 同時に配信された Windows 10 用 KB5034441 のインストールに失敗する事例が多数発生しているようです。 私の手元でも発生しています。

 関連:

2024.01.12 追記:

 KB5034441 の件、回復パーティション拡張用のオフィシャルスクリプトが公開されました。 Windows 10 バージョン 2004 以降 (Windows 11 を含む) 用と、 Windows 10 / 11 全バージョン用です。よりロバストなので前者が推奨だそうです。

 手元で失敗していた Windows 10 機 2 台に適用してみたところ、うまくいったようです。

 関連:

2024.01.16 追記:

 KB5034441 の件の記事:

 あと CVE 一覧。48 MS CVE + 5 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

2024.01.22 追記:

 KB5034441 の件:

2024.02.15 追記:

 KB5034441 の件:


2024.01.10


2024.01.09


2024.01.06

 本年もよろしくお願いいたします。


[セキュリティホール memo]
[私について]