セキュリティホール memo

Last modified: Thu Jun 30 15:44:37 2022 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2022.06.30


2022.06.29

Firefox 102.0 / ESR 102.0 / ESR 91.11.0、Firefox for Android 102、Thunderbird 91.11.0 / 102.0 公開
(Mozilla, 2022.06.28)

 出てます。

 Firefox ESR 102 系列も登場しています。ESR 91 系列は 91.13 で終了となります (Firefox Release Calendar)。

 あと、Thunderbird 102.0 も出ています。 インストールするには、直接ダウンロードする必要があります。


2022.06.28

追記

2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)

 Edge の IE モードタブ関連の不具合は KIR ロールバックで対応だそうです。


2022.06.27

いろいろ (2022.06.27)
(various)

curl

追記

個人情報を含むUSBメモリーの紛失について (2022.06.24)

 関連:

  • 飲酒の社員、マンション敷地にUSBメモリー置き忘れか…警察は異例の遺失物捜索 (読売, 2022.06.25)

    男性社員からの遺失物届を受け、府警吹田署は24日、約30人を動員し、男性社員とともに捜索。携帯電話の位置情報から大まかな場所を推定し、同日昼頃、居酒屋から約1キロ離れたマンションの敷地内で、バックアップ用も含めUSB2本をかばんとともに発見した。男性社員はマンションに立ち寄った記憶がなかったが、署員が捜索を提案したという。かばんに入れていた財布なども手つかずで、同署は社員が敷地内に入り、置き忘れたとみている。

    どうやら「単なる置き忘れ」の可能性が高そうだと。 これは吉報。

 あと、さらなるすさまじ項目が追加された模様。

  • 無許可で再委託していた

  • 当該人物は再委託先ではなく、再委託先がさらに再委託した (再々委託) 会社の社員だった

 こちら:


2022.06.24

個人情報を含むUSBメモリーの紛失について
(尼崎市, 2022.06.23)

 なかなかにすさまじい案件ですね。

 関連:

2022.06.24 追記:

 当該 USB メモリーを発見。

2022.06.27 追記:

 関連:

 あと、さらなるすさまじ項目が追加された模様。

 こちら:

追記

2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)

 Wi-Fi ホットスポット機能に不具合が出ていた件は C リリースで対応だそうです。


2022.06.22

いろいろ (2022.06.22)
(various)

PHP

OpenSSL c_rehash スクリプト

Intel CPU

AMD CPU

Chrome Stable Channel Update for Desktop
(Google, 2022.06.21)

 Chrome 103.0.5060.53 が stable に。14 件のセキュリティ修正を含む。

 関連:


2022.06.21

追記

2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)

 ARM 版 Windows 10 / 11 で Asure AD や Microsoft 365 にサインインできない件、修正プログラムが公開されました。


2022.06.20

追記

2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)

 不具合情報:


2022.06.15

「Illustrator」「InDesign」などに任意コード実行の問題 ~Adobeが月例セキュリティ情報を発表
(窓の杜, 2022.06.15)

 Adobe Animate / Bridge / Illustrator / InCopy / InDesign / RoboHelp Server のセキュリティ更新公開。いずれも Priority: 3。

2022 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.06.15)

 出ました。ms-msdt:/ URL の件 も対応されています。 (後で書……けるといいな)

2022.06.20 追記:

 不具合情報:

2022.06.21 追記:

 ARM 版 Windows 10 / 11 で Asure AD や Microsoft 365 にサインインできない件、修正プログラムが公開されました。

2022.06.24 追記:

 Wi-Fi ホットスポット機能に不具合が出ていた件は C リリースで対応だそうです。

2022.06.28 追記:

 Edge の IE モードタブ関連の不具合は KIR ロールバックで対応だそうです。

追記

CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)

 2022 年 6 月の定例更新プログラムで対応されました。


2022.06.15


2022.06.14


2022.06.13

いろいろ (2022.06.13)
(various)

Apple M1 チップ

Drupal

Lighttpd

RealVNC VNC Server


2022.06.10

競争政策が消費者の安全・詐欺被害耐性を破壊しに来た
(高木浩光@自宅の日記, 2022.06.09)

 iPhone にも side loading を、という話なのかと思っていたら、それに止まらないのだそうで。

つまり、警告や余分なステップなしに任意のWebサイトからアプリをインストールできるようにしろというのである。エンジニア的発想からすれば、自己責任でセキュリティを解除して独自アプリを入れられたら楽しいと思うかもしれないが、これはそういう話ではない。これは、高齢者等の情報弱者を含めた一般の利用者に対して、公式ストアからの利用と「平等に」野良アプリも利用できるようにしろ、という話になっている。

それもそのはず、これは競争政策の話だからだ。どのストアも一切優遇されることなく任意に選べるべき、ということになるし、狭義のサイドダウンロードも、全く確認なしに即動くようにしろ、ということになる。これはトンデモだ。

 うひゃあ。 「デジタル市場競争会議 ワーキンググループ」は、 スマホの世界をパソコンと同じレベルの荒野にしたいらしい。 これは絶対にやっちゃ駄目。

 中間報告パブコメの締切 2022年6月10日23時59分。今日じゃん。マジか。

Chrome Stable Channel Update for Desktop
(Google, 2022.06.09)

 Chrome 102.0.5005.115 公開。7 件のセキュリティ修正を含む。

追記

Firefox 101.0 / ESR 91.10.0、Firefox for Android 101、Thunderbird 91.10.0 公開 (2022.06.02)

 Firefox 101.0.1、 Firefox for Android 101.2.0 が公開された。 セキュリティ修正は含まれない。

いろいろ (2022.06.10)
(various)

UNISOC 製 Android スマートフォン用チップセット


2022.06.09

いろいろ (2022.06.09)
(various)

三菱電機 空調管理システム

Apache HTTP Server 2.4.54 Released
(apache.org, 2022.06.08)

 Apache httpd 2.4.54 公開。8 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。


2022.06.08

いろいろ (2022.06.08)
(various)

GRUB2

追記

いろいろ (2022.06.07) NTFS-3G

Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起 (2022.06.06)

Meeting Owl videoconference device used by govs is a security disaster
(ars technica, 2022.06.03)

 リモート会議デバイス Meeting Owl Pro および Whiteboard Owl に複数の欠陥。

 詳細は Meeting Owl SECURITY DISCLOSURE REPORT (modzero, 2022.06.03) を参照。

 CVE-2022-31460 についてはファームウェアバージョン 5.4.1.4 で修正されている。 Meeting Owl Pro Software Release Notes (owllabs.com) を参照。

 「Meeting Owl Pro」アップデータリリース情報 (sourcenext.com) によると、日本版の最新ファームウェアは 4.3.0.5 (2022.04.12 リリース) の模様。 Meeting OWL には「大手企業が続々導入」「大反響 国内出荷20,000台突破」としてさまざまな企業のロゴが貼られているが、バックドアあり企業一覧になりかねないのでご注意。

 関連:


2022.06.07

いろいろ (2022.06.07)
(various)

NTFS-3G

2022.06.08 追記:

WebKitGTK、WPE WebKit

Linux netfilter subsystem

Android

追記

CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)


2022.06.06

ICS Advisory (ICSA-22-154-01) Vulnerabilities Affecting Dominion Voting Systems ImageCast X
(CISA, 2022.06.03)

 Dominion Voting Systems 社の電子投票システム ImageCast X に複数の欠陥。 local の攻撃者が管理者権限を取得できる等。

2.4 RESEARCHER
J. Alex Halderman, University of Michigan, and Drew Springall, Auburn University, reported these vulnerabilities to CISA.

 研究者による検証の結果の模様。

Contact Dominion Voting Systems to determine which software and/or firmware updates need to be applied. Dominion Voting Systems reports to CISA that the above vulnerabilities have been addressed in subsequent software versions.

 現時点では修正版はまだないみたい。

Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起
(JPCERT/CC, 2022.06.06 更新)

 Atlassian Confluence Server / Data Center 1.3.0 以降に 0-day 欠陥、remote から無認証で任意のコードを実行される。CVE-2022-26134

 次の版で修正されている: 7.4.17 / 7.13.7 / 7.14.3 / 7.15.2 / 7.16.4 / 7.17.4 / 7.18.1。 また 7.0 以降については、 Confluence セキュリティ勧告 - 2022-06-02 (Atlassian) で緩和策が公開されている。

 関連:

2022.06.08 追記:

 関連:


2022.06.03

追記

CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)

 本件で得られた知見と search-ms: URL を組みあわせると、また別の攻撃が可能となるそうで。

 ms-msdt: URL の場合ほどには危険ではないようですが、十分に危険でしょう。 search-ms: URL の機能を必要としない場合は、ms-msdt: の場合と同様に reg export HKEY_CLASSES_ROOT\search-ms バックアップファイル名 でバックアップしてから reg delete HKEY_CLASSES_ROOT\search-ms /f で削除するのが吉。

 関連:

  • ツイート


2022.06.02

追記

Chrome Stable Channel Update for Desktop (2022.05.25)

 「Microsoft Edge 102」が「Chrome」の一週間遅れで正式版に  深刻度「Critical」の問題を含む24件の脆弱性に対処 (窓の杜, 2022.06.01)。Edge 102.0.1245.30 だそうです。

 脆弱性の修正は、CVE番号ベースで24件。「Chrome 102」における変更とほぼ共通(最大深刻度は「Critical」)だが、「Edge」独自の問題として以下の3件が対処されている(括弧内は深刻度の評価)。

Firefox 101.0 / ESR 91.10.0、Firefox for Android 101、Thunderbird 91.10.0 公開
(Mozilla, 2022.05.31)

 出てます。

2022.06.10 追記:

 Firefox 101.0.1、 Firefox for Android 101.2.0 が公開された。 セキュリティ修正は含まれない。


2022.06.01

CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス
(Microsoft, 2022.05.30)

 Windows に標準塔載されている「Microsoft サポート診断ツール」 (Microsoft Support Diagnostic Tool, MSDT) に欠陥。 ms-msdt:/ URL を使って MSDT 経由で任意のコマンドを実行できる。 攻略 Web ページや攻略 Office 文書を読み込ませることで簡便に実行できてしまうため、 たいへん危険。 CVE-2022-30190

 ms-msdt:/ URL を解釈できないようにすることで回避できる。 Microsoft が提示している方法は、管理者コマンドプロンプトから:

 関連:

2022.06.03 追記:

 本件で得られた知見と search-ms: URL を組みあわせると、また別の攻撃が可能となるそうで。

 ms-msdt: URL の場合ほどには危険ではないようですが、十分に危険でしょう。 search-ms: URL の機能を必要としない場合は、ms-msdt: の場合と同様に reg export HKEY_CLASSES_ROOT\search-ms バックアップファイル名 でバックアップしてから reg delete HKEY_CLASSES_ROOT\search-ms /f で削除するのが吉。

 関連:

2022.06.07 追記:

 関連:

2022.06.15 追記:

 2022 年 6 月の定例更新プログラムで対応されました。


過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]