セキュリティホール memo - 2021.07

Last modified: Fri Apr 22 19:03:05 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.07.30

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品の脆弱性に関する注意喚起
(JPCERT/CC, 2021.07.29)

 Trend Micro Apex One 2019 / SaaS、ウイルスバスターコーポレートエディション XG SP1、 ウイルスバスタービジネスセキュリティ 10 SP1 に、0-day を含む複数のセキュリティ欠陥。

説明 Apex One ウイルスバスター 注記
2019 SaaS Corp. XG SP1 Biz. 10 SP1
CVE-2021-32464 不適切なパーミッション割り当てによる権限昇格の脆弱性 8月上旬 patch 提供予定 2021.07.21 に対応済み Critical Patch 6058 で対応 影響なし
CVE-2021-32465 不適切なパーミッションの保存による認証バイパスの脆弱性
CVE-2021-36741 任意ファイルをアップロードされる脆弱性 Patch 5 ビルド 9565 で対応 Patch 2329 で対応 0-day
CVE-2021-36742 ローカルでの権限昇格の脆弱性

 関連:


2021.07.28


2021.07.27

Apple 方面 (iOS / ipadOS 14.7.1、macOS 11.5.1) CVE-2021-30807 0-day 修正
(Apple, 2021.07.26)

 iOS / ipadOS 14.7.1、macOS Big Sur 11.5.1 が公開されました。 IOMobileFrameBuffer の 0-day 欠陥 CVE-2021-30807 (まだ登録されてないみたい) が修正されています。NSO Group Pegasus の件関連かどうかは不明です。

iOS 14.6にゼロクリック脆弱性が存在、政府が人権活動家の監視に利用していたとの報告  イスラエル企業が開発したスパイウェア「Pegasus」によるもの
(engadget, 2021.07.20)

 (魚拓: https://archive.fo/YcIH2)

 はい、また NSO Group、また iMessage だそうです。

iPhoneユーザーにとって重大なことは、少し前まで最新だった(iOS 14.7が7月20日に配信開始)iOS 14.6でも、iMessageにゼロクリック脆弱性が存在したことでしょう。つまりユーザーが怪しいメッセージを受信したり、危険なURLを踏むことなくスパイウェアに感染させられたというわけです。

ここ数年、PegasusはiOSがセキュリティ脆弱性を塞ぐたびに対応してきたものの、2020年末(上記のカナダ研究機関が報告時)にはiOS 14では対策が施されたはずでした。しかし今回のアムネスティ報告では、その後まもなくNSOグループが代わりに使えるエクスプロイト(脆弱性を利用した攻撃方法)を見つけた上に、最新の対策が施されたはずのiOS 14.6のセキュリティまで攻略済みだったと判明したしだいです。

 「2020 年末」の件はこちら: The Great iPwn - Journalists Hacked with Suspected NSO Group iMessage ‘Zero-Clic’ Exploit (memo, 2020.12.22)

 さきほど iOS 14.7.1 が公開 されましたが、本件の修正なのかどうかは不明です。

 関連:

2021.10.22 追記:

 スパイウェア「Pegasus」の攻撃で悪用されたiPhoneのゼロクリックエクスプロイト「ForcedEntry」を解説 (トレンドマイクロ セキュリティ blog, 2021.09.27)

2022.02.16 追記:

 つづき: NSO Group 方面


2021.07.26

追記

Chrome Stable Channel Update for Desktop (2021.07.21)


2021.07.23


2021.07.22

Microsoft Windows 10 gives unprivileged user access to system32\config files
(US-CERT, 2021.07.20)

 Windows 10 バージョン 1809 以降における、 Security Accounts Manager (SAM) データベースを含むシステムファイル (%windir%\system32\config ディレクトリ) の ACL 設定に欠陥があり、local user による権限上昇を招く。

 修正するには、管理者コマンドプロンプトから icacls %windir%\system32\config\*.* /inheritance:e を実行する。実行後さらに vssadmin delete shadows /for=c: /Quiet を実行し、VSS シャドウコピーを削除する (システムドライブが C: の場合)。 削除されたことを vssadmin list shadows で確認する。

「Photoshop」や「Premiere Pro」、「After Effects」などに致命的な脆弱性
(窓の杜, 2021.07.21)

 Adobe から Photoshop / Audition / Character Animator / Prelude / Premiere Pro / After Effects / Media Encoder のセキュリティ更新が出ています。

Apple 方面 (iOS / iPadOS / tvOS 14.7、watchOS 7.6、macOS Big Sur 11.5、Safari 14.1.2)
(Apple, 2021.07.19)

 出てます。

追記

Oracle Critical Patch Update Advisory - July 2021 (2021.07.21)

 関連:


2021.07.21

いろいろ (2021.07.21)
(various)

Intel BIOS

GroupSession

HP LaserJet、Samsung プリンター、Xerox プリンター

追記

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 プリントスプーラー関連で、さらに別の欠陥が発見されたそうです。

2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)

 Windows Hello 顔認証を突破できる欠陥 CVE-2021-34466

  • Windows Hello のセキュリティ機能のバイパスの脆弱性 CVE-2021-34466 (Microsoft)。2021年7月の更新プログラムで対応。

  • 研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性 (CNET, 2021.07.20)

  • Bypassing Windows Hello Without Masks or Plastic Surgery (CyberArk, 2021.07.13)。発見者による解説。

    This research reveals how a system, such as Windows Hello, that implicitly trusts input from peripheral devices can expose itself to inherent security weakness. This input, in some cases, can contain “public” data like a person’s face, which can raise security issues.

    Our findings show that any USB device can be cloned, and any USB device can impersonate any other USB device. Identifying a USB device by a descriptor provided by the device is the main reason for this. The OS cannot validate such a device authenticity, at least not according to the USB specification.

    We used the IR frames of a person to “bypass” the face recognition mechanism. We believe that those IR frames can be created out of regular color images.

    We would suggest that anyone who might want to proceed with this research idea base their work on an automated process of transforming a color image to IR. This can be achieved in many ways, from automated filters to full-blown fancy ML algorithms.

Oracle Critical Patch Update Advisory - July 2021
(Oracle, 2021.07.20)

 Oracle 四半期定例 patch 出ました。 Java SE 16.0.2 / 11.0.12 / 8u301、VirtualBox 6.1.24 などが公開されています。

2021.07.22 追記:

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2021.07.20)

 Chrome 92.0.4515.107 が stable に。35 件のセキュリティ修正を含む。

 関連: 「Google Chrome 92」が正式公開 ~「Chrome Action」を拡充、サイト分離も強化 (窓の杜, 2021.07.21)

2021.07.26 追記:

 Edge も 92 が stable に: 「Microsoft Edge 92」が安定版に ~新しい[拡張機能]メニューが追加。パスワードの健全性を一目でチェック可能に (窓の杜, 2021.07.26)


2021.07.20

Chrome Stable Channel Update for Desktop
(Google, 2021.07.15)

 Chrome 91.0.4472.164 公開。8 件のセキュリティ修正を含む。内 CVE-2021-30563 (High, $TBD) は 0-day。


2021.07.19

追記

2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)

 Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (Microsoft Threat Intelligence Center (MSTIC), 2021.07.15)。Candiru 社の件。

The Microsoft Threat Intelligence Center (MSTIC) alongside the Microsoft Security Response Center (MSRC) has uncovered a private-sector offensive actor, or PSOA, that we are calling SOURGUM in possession of now-patched, Windows 0-day exploits (CVE-2021-31979 and CVE-2021-33771).

2021.07.16

Cloudflareのcdnjsにおける任意コード実行
(RyotaK's Blog, 2021.07.16)

 Cloudflare cdnjs のライブラリ更新用サーバーにセキュリティ欠陥。 自動更新機能におけるアーカイブファイルのパスの扱いに欠陥があり、 任意のファイルを上書きでき、これを利用して任意のコードを実行できる。

 cdnjs はこのように説明されているサイト:

cdnjs is a free and open-source CDN service trusted by over 12.5% of all websites, serving over 200 billion requests each month, powered by Cloudflare.

 うひー。現在は修正されているそうです。

追記

2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)

 Microsoft July 2021 Patch Tuesday fixes 9 zero-days, 117 flaws (bleepingcomputer, 2021.07.13)

Microsoft classifies a zero-day vulnerability as publicly disclosed or actively exploited with no official security updates or released.

The five publicly disclosed, but not exploited, zero-day vulnerabilities are:

  • CVE-2021-34492 - Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability

There was one publicly disclosed and actively exploited vulnerability known as PrintNightmare.

  • CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability

Finally, there are three actively exploited Windows vulnerabilities that were not publicly disclosed.

  • CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability

 最後の 3 つはこちら:

2021 年 6 月のセキュリティ更新プログラム (月例) (2021.06.11)

Chrome Stable Channel Update for Desktop (2021.06.11)

Chrome Stable Channel Update for Desktop (2021.03.11)

Apple 方面 (iOS, iPadOS, watchOS) (2021.03.29)

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 local からの権限上昇については別の CVE 番号が振られたそうです: Windows Print Spooler Elevation of Privilege Vulnerability CVE-2021-34481 (Microsoft)。 未修正です。 プリントスプーラーを停止・無効とすることで回避できます。


2021.07.15

いろいろ (2021.07.15)
(various)

Broadcom MediaxChange ファームウェア

Wireshark


2021.07.14

「Illustrator」や「Acrobat」「Acrobat Reader」などに致命的な脆弱性  Adobeが5製品を対象に月例セキュリティアップデートをリリース
(窓の杜, 2021.07.14)

 Adobe から Dimension、Illustrator、Framemaker、Acrobat / Reader、Bridge のセキュリティ更新が公開されました。(あとで書く。多分)

2021.07.21 追記:

 忘れてた。

2021 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.07.14)

 月例出ました。 Windowsの印刷スプーラーの脆弱性(CVE-2021-34527) の修正はもちろん、 Flash Player 削除の更新プログラム KB4577586 も含むそうです。 2021 年 7 月のセキュリティ更新プログラム より:

 今回から、CVE-2020-17049 Kerberos KDC のセキュリティ機能のバイパスの脆弱性 への対応が「強制フェーズ」になるそうです。

2020 年 11 月の定例リリースにて公開した Kerberos KDC Security の脆弱性情報 CVE-2020-17049 への対応として、2021 年 7 月のセキュリティ更新プログラムを適用後は、セキュリティ修正に準拠していない Kerberos チケットは拒否する動作になります (強制モード フェーズ)。なお、PerformTicketSignature のレジストリで設定している値に関わらず、2021 年 7 月のセキュリティ更新プログラムを適用後は、セキュリティ修正に準拠していない Kerberos チケットは拒否する動作になります。この変更に関する詳細は、「Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス」をご参照ください。

 FAQ 等がある奴一覧:

 関連:

2021.07.16 追記:

 Microsoft July 2021 Patch Tuesday fixes 9 zero-days, 117 flaws (bleepingcomputer, 2021.07.13)

Microsoft classifies a zero-day vulnerability as publicly disclosed or actively exploited with no official security updates or released.

The five publicly disclosed, but not exploited, zero-day vulnerabilities are:

There was one publicly disclosed and actively exploited vulnerability known as PrintNightmare.

Finally, there are three actively exploited Windows vulnerabilities that were not publicly disclosed.

 最後の 3 つはこちら:

2021.07.19 追記:

 Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (Microsoft Threat Intelligence Center (MSTIC), 2021.07.15)。Candiru 社の件。

The Microsoft Threat Intelligence Center (MSTIC) alongside the Microsoft Security Response Center (MSRC) has uncovered a private-sector offensive actor, or PSOA, that we are calling SOURGUM in possession of now-patched, Windows 0-day exploits (CVE-2021-31979 and CVE-2021-33771).

2021.07.21 追記:

 Windows Hello 顔認証を突破できる欠陥 CVE-2021-34466

2021.08.03 追記:

 関連:

いろいろ (2021.07.14)
(various)

Tomcat

  • CVE-2021-33037。 Tomcat 10.0.0-M1〜10.0.6 / 9.0.0.M1〜9.0.46 / 8.5.0〜8.5.66 にセキュリティ欠陥。HTTP transfer-encoding リクエストヘッダの処理に欠陥があり、 リバースプロキシとあわせて使用する場合に request smuggling が発生。 特に、クライアントが HTTP/1.0 しか受け付けないと宣言した場合に transfer encoding を正しく排除できない。

    Tomcat 10.0.7 / 9.0.48 / 8.5.68 で修正されている。 なお、Tomcat 9.0.47 / 8.5.67 は欠番となっている。

Go

Firefox 90.0 / ESR 78.12.0、Thunderbird 78.12.0 公開
(Mozilla, 2021.07.13)

 出ました。


2021.07.13

いろいろ (2021.07.13)
(various)

Apache Mina SSHD

SolarWinds Serv-U

2021.09.17 追記:

2021.07.12


2021.07.09

いろいろ (2021.07.09)
(various)

エレコム WRC-1167FS-W、WRC-1167FS-B、WRC-1167FSA、WRC-300FEBK、WRC-F300NF、WRC-733FEBK、WRH-300RD、WRH-300BK、WRH-300SV、WRH-300WH、WRH-300BK-S、WRH-300WH-S、WRH-H300WH、WRH-H300BK

Node.js

トレンドマイクロ パスワードマネージャー Windows版

Android

Ruby


2021.07.08

追記

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 Windows 10 バージョン 1607、Windows Server 2016、Windows Server 2012 用の更新プログラムも公開されました。

 一方で、今回の更新は不完全だとの声が上がっています。

  • 「Microsoftの印刷スプーラ脆弱性対策は不十分」と複数セキュリティ研究者が指摘 (PC Watch, 2021.07.08)。 patch を適用しても local からの攻撃は防げないと。またレジストリ \HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers の NoWarningNoElevationOnInstall が 1 の場合、 remote からの攻撃も可能だと。

    NoWarningNoElevationOnInstall = 1 は、 グループポリシーであれば、 コンピューターの構成 / 管理用テンプレート / プリンター の「ポイント アンド プリントの制限」 を「有効」に設定し、かつ「セキュリティの確認: 新しい接続用にドライバーをインストールした場合:」で「警告または昇格時のプロンプトを表示しない」を選択した場合に設定される値です。

  • Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.08 更新)

    なお、WindowsでPoint and Printが有効である場合、設定次第では仕様上脆弱な状態になります。マイクロソフトのアドバイザリに推奨される設定値が掲載されているため、自組織の環境における設定をご確認いただくことを推奨します。
  • Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527 (Microsoft, 2021.07.07 更新)

    ポイント アンド プリントはこの脆弱性と直接関係はありませんが、このテクノロジにより、悪用が可能になるような方法でローカルのセキュリティ態勢が緩和されます。グループ ポリシーでポイント アンド プリントを無効にするには、次のようにグループ ポリシーで設定を構成します。

2021.07.07

追記

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 定例外で CVE-2021-34527 更新プログラムが公開されました。 ただし例外があります。

  • Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.07 更新)

    なお、Windows 10 version 1607、Windows Server 2016、Windows Server 2012についてはまだ更新プログラムは公開されておらず、今後公開を予定しているとのことです。

    Windows 10 バージョン 1607 は Enterprise 2016 LTSB としてしか維持されていないので、 ほとんどの人には関係ないだろうけど。

  • セキュリティ更新プログラム ガイド (Microsoft)。CVE-2021-34527 の件、 「Windows 10 version 1607、Windows Server 2016、Windows Server 2012」 については article や download が示されていないことを確認できる。


2021.07.06

いろいろ (2021.07.06)
(various)

Dovecot、Pigeonhole

WhyNotWin11


2021.07.05

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起
(JPCERT/CC, 2021.07.05)

 Windows のプリントスプーラーに 0-day 欠陥。 認証済みユーザーが remote から任意のコードを SYSTEM 権限で実行できる。 既に PoC が公開されてしまっており、広く悪用される恐れがある。CVE-2021-34527。 2021.06 patch で修正された CVE-2021-1675 に類似してはいるが異なる欠陥。

 patch はまだない。回避方法としては以下がある。

 関連:

2021.07.07 追記:

 定例外で CVE-2021-34527 更新プログラムが公開されました。 ただし例外があります。

2021.07.08 追記:

 Windows 10 バージョン 1607、Windows Server 2016、Windows Server 2012 用の更新プログラムも公開されました。

 一方で、今回の更新は不完全だとの声が上がっています。

2021.07.16 追記:

 local からの権限上昇については別の CVE 番号が振られたそうです: Windows Print Spooler Elevation of Privilege Vulnerability CVE-2021-34481 (Microsoft)。 未修正です。 プリントスプーラーを停止・無効とすることで回避できます。

2021.07.21 追記:

 プリントスプーラー関連で、さらに別の欠陥が発見されたそうです。

2021.08.23 追記:

 CVE-2021-344812021 年 8 月のセキュリティ更新プログラム (月例) で修正されました。

 しかし、さらなる 0-day 欠陥 CVE-2021-36958 が登場。プリントスプーラーサービスの停止・無効化で回避できる。

2021.09.15 追記:

 CVE-2021-369582021 年 9 月のセキュリティ更新プログラム (月例) で修正されました。

2021.09.17 追記:

 関連:

2021.09.20 追記:

 不具合情報


[セキュリティホール memo]
[私について]