セキュリティホール memo

Last modified: Fri Feb 23 20:36:52 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.02.23

いろいろ (2018.02.23)
(various)

Edge

Mailman

追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018.02.14)

 Windows 7 用のマンスリー ロールアップ KB4074598 で、IC カードリーダーを認識しなくなる不具合が発生することがあるそうです。不具合が発生する場合は KB4074598 をアンインストールし、 セキュリティのみの更新プログラム KB4074587 をインストールすることで回避できるそうです。

 Windows 10 version 1709 の累積更新プログラム KB4074588 でも、USB 接続のキーホード・マウスを利用できなくなる不具合が発生することがあるそうです (青画面の場合もあるようで)。河合さん情報ありがとうございます。PS/2 接続のキーホード・マウスは ok だそうです。 不具合が発生した場合は、KB4074588 をアンインストールするしか方法がないようです。


2018.02.22


2018.02.21


2018.02.20

追記

macOSやiOSで特定のUnicode文字列を表示させようとするとクラッシュする問題が確認される (2018.02.19)

 こちらがよくまとまっています: macOS 10.13/iOS 11のゼロ幅非接合子処理の不具合を利用しアプリをクラッシュさせる文字列が複数発見される。 (AAPL Ch., 2018.02.19)

 iOS 11.2.6、tvOS 11.2.6、watchOS 4.2.3、macOS High Sierra 10.13.3 Supplemental Update で修正されました。


2018.02.19

macOSやiOSで特定のUnicode文字列を表示させようとするとクラッシュする問題が確認される
(スラド, 2018.02.19)

 いまだにあるんですねえ、こういう話。 techcrunch 記事によると、ベータ版では既に修正されているそうです。

2018.02.20 追記:

 こちらがよくまとまっています: macOS 10.13/iOS 11のゼロ幅非接合子処理の不具合を利用しアプリをクラッシュさせる文字列が複数発見される。 (AAPL Ch., 2018.02.19)

 iOS 11.2.6、tvOS 11.2.6、watchOS 4.2.3、macOS High Sierra 10.13.3 Supplemental Update で修正されました。


2018.02.16

追記

チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃 (2017.06.28)

 US / UK 政府、NotPetya は「ほぼ確実に」ロシア軍によるものと発表。

Chrome Stable Channel Update for Desktop
(Google, 2018.02.13)

 Chrome 64.0.3282.167 公開 (Windows 版では 64.0.3282.167/168)。セキュリティ修正 1 件を含む。 iida さん情報ありがとうございます。


2018.02.15

いろいろ (2018.02.15)
(various)

Adobe Experience Manager

GNU patch


2018.02.14

2018 年 2 月のセキュリティ更新プログラム (月例)
( 日本のセキュリティチーム, 2018.02.14)

 Microsoft 2018.02 patch 出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player。Flash Player は 2/6 に先行公開された奴のことです。

 また ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス が更新されました (version 12.0)。32bit 版 Windows 10 と Microsoft HoloLens 用の更新プログラムが新たに公開されたそうです。

2018.02.23 追記:

 Windows 7 用のマンスリー ロールアップ KB4074598 で、IC カードリーダーを認識しなくなる不具合が発生することがあるそうです。不具合が発生する場合は KB4074598 をアンインストールし、 セキュリティのみの更新プログラム KB4074587 をインストールすることで回避できるそうです。

 Windows 10 version 1709 の累積更新プログラム KB4074588 でも、USB 接続のキーホード・マウスを利用できなくなる不具合が発生することがあるそうです (青画面の場合もあるようで)。河合さん情報ありがとうございます。PS/2 接続のキーホード・マウスは ok だそうです。 不具合が発生した場合は、KB4074588 をアンインストールするしか方法がないようです。

APSB18-02 - Security updates available for Adobe Acrobat and Reader
(Adobe, 2018.02.13)

 41 件のセキュリティ欠陥を修正。0-day はないみたい。Priority Rating はいずれも 2。

種別 更新版
Acrobat / Acrobat Reader DC (Continuous Track) 2018.011.20035
Acrobat / Acrobat Reader 2017 2017.011.30078
Acrobat / Acrobat Reader DC (Classic Track) 2015.006.30413 (Windows)
2015.006.30416 (Mac)

 MIURA さんから「セキュリティホールmemo経由adobeのページだけでなく窓の社でも20035となっていますが、最新は20036の気がします」との情報を頂きました (ありがとうございます)。手元の環境で更新してみたら、こうなりました。

 Acrobat / Reader XI のサポートは 2017.10.15 で終了しています。Acrobat / Acrobat Reader DC 等に移行してください。


2018.02.13

いろいろ (2018.02.13)
(various)

PostgreSQL

LibreOffice

Everything

Exim

InfoZip UnZip

追記

いろいろ (2018.01.31) Cisco ASA

 関連:

 当初の更新版では防げない、別の攻撃界面が発見され、さらなる修正版が公開されています。


2018.02.09


2018.02.08

いろいろ (2018.02.08)
(various)

Android

IO DATA MagicalFinder 対応製品 (NAS, WiFi ルーター, VPN ルーター, ネットワークチューナー)

追記

いろいろ (2018.01.31): Electron


2018.02.07

追記

APSA18-01 - Security Advisory for Flash Player (2018.02.02)

 Flash Player 更新版出ました: APSB18-03 - Security updates available for Flash Player (Adobe, 2018.02.06)。Flash Player 28.0.0.161 で CVE-2018-4877 CVE-2018-4878 を修正。0-day だったのは後者。


2018.02.06


2018.02.05

追記

VU#584653 - CPU hardware vulnerable to side-channel attacks (2018.01.12)

Chrome Stable Channel Update for Desktop (2018.02.02)

 「Google Chrome 64」が更新、ゼロデイ脆弱性が公表されたFlashプラグインも新版に (窓の杜, 2018.02.05)。Chrome の更新と内蔵 Flash Player の更新は独立事象だと思いますが、手元の Chrome for Windows で chrome://components/ を見たところ Flash Player 28.0.0.161 になってました。


2018.02.02

Chrome Stable Channel Update for Desktop
(Google, 2018.02.01)

 Chrome 64.0.3282.140 公開。セキュリティ修正 1 件を含む。

2018.02.05 追記:

 「Google Chrome 64」が更新、ゼロデイ脆弱性が公表されたFlashプラグインも新版に (窓の杜, 2018.02.05)。Chrome の更新と内蔵 Flash Player の更新は独立事象だと思いますが、手元の Chrome for Windows で chrome://components/ を見たところ Flash Player 28.0.0.161 になってました。

APSA18-01 - Security Advisory for Flash Player
(Adobe, 2018.02.01)

 Flash Player 28.0.0.137 以前に 0-day 欠陥、remote から任意のコードを実行できる。攻略 Flash コンテンツを埋め込んでいる Office 文書が電子メールで送られてきている模様。CVE-2018-4878

 現在修正作業中。更新版は 2018.02.05 の週に公開される予定。

 軽減方法:

2018.02.07 追記:

 Flash Player 更新版出ました: APSB18-03 - Security updates available for Flash Player (Adobe, 2018.02.06)。Flash Player 28.0.0.161 で CVE-2018-4877 CVE-2018-4878 を修正。0-day だったのは後者。


2018.02.01

いろいろ (2018.02.01)
(various)

Joomla

  • Joomla 3.8.4 Release (Joomla, 2018.01.30)。4 件のセキュリティ修正 (XSS x 3、SQL injection x 1) を含む。 いずれも Low Priority と分類されている。

Cisco Aggregation Services Router 9000 Series

AsusWRT httpd

  • Multiple vulnerabilities in all versions of ASUS routers (Full Disclosure ML, 2018.01.14)。いくつかの欠陥については AsusWRT 3.0.0.4.382.18495 で修正されている。修正作業中のものも複数あり。 また 3.0.0.4.376.X 以前の EoL 製品については、buffer overflow する欠陥があるそうで。


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]