Cisco Systems製スイッチ「Cisco Catalyst 2940シリーズ」にあらたな脆弱性が明らかとなった。過去に公開されたファームウェアで対策済みだが、すでにサポート期間を終えており、製品の利用を中止するよう呼びかけられている。 「Cisco Catalyst 2940シリーズ」にクロスサイトスクリプティング（XSS）の脆弱性「 CVE-2022-31734」が明らかとなったもの。 サイバーセキュリティ研究団の今岡陵氏が情報処理推進機構（IPA）へ報告し、JPCERTコーディネーションセンターが調整を実施した。あらたにCVE番号が採番されているが、脆弱性そのものは、2011年にリリースされた「ファームウェア 12.2(50)SY」にて対策済みだという。 同製品は、2010年に販売を終え、サポート期間についても2015年に終了しているが、2022年の段階でも製品の流通が続いてい

マイクロソフトは、2022年6月の月例セキュリティ更新プログラムをリリースした。「クリティカル（Critical）」とされる3件をはじめ、あわせて56件の脆弱性に対応した。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Windows Defender」「Hyper-V」「SQL Server」「Azure」「.NET」「Visual Studio」などの脆弱性に対処した。 CVEベースで55件の脆弱性を修正しており、最大重要度を見ると、4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性が3件。のこる52件については次いで高い「重要（Important）」とレーティングされている。 共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると、40件が「7.0」以上とレーティングされており、このうち1件については「9.8」と評価されている

F5が提供する「BIG-IP」に、認証を回避される深刻な脆弱性「CVE-2022-1388」が明らかとなった問題で、同脆弱性の悪用が確認された。注意が呼びかけられている。 同脆弱性は、「iControl REST認証」のバイパスが可能となる脆弱性。重要度はもっとも高い「クリティカル（Critical）」、共通脆弱性評価システム「CVSSv3」のベーススコアは「9.8」と評価されている。 F5では、現地時間5月4日にアドバイザリをリリースし、同脆弱性を公表した。その後5月9日にはセキュリティベンダーのHorizon3が詳細とともに実証コード（PoC）を公開。同日前後より脆弱性の悪用についても観測されている。 Palo Alto Networksによれば、同社でもパッチが適用されていないシステムを探索する大量のスキャン活動や、脆弱性を悪用してコマンドを実行する攻撃を観測しているという。 同社で

セキュリティ機関は、組織内部のネットワークへ接続する際に利用される「VPN」に相次いで脆弱性が見つかっているとして注意を呼びかけている。 複数ベンダーのセキュリティ製品で、VPN機能に深刻な脆弱性が明らかとなっていることから、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が注意を呼びかけたもの。 7月に入り、セキュリティ研究者がPalo Alto Networksの旧版PAN-OSに対し、リモートよりコードの実行が可能となる脆弱性を指摘。Palo Altoでは急遽アドバイザリを公開したが、同製品に限らず、4月以降、FortinetやPulse Secureの製品にも脆弱性が明らかとなっている。 Fortinet製品のOS「FortiOS」では、「SSL VPN」機能に、情報漏洩の脆弱性が含まれていることを5月に公表。アップデートをリリースした。 「S

「Docker」や「Kubernetes」「cri-o」などで採用されているコンテナのランタイム「runc」に脆弱性が見つかった問題で、はやくも複数の実証コード（PoC）が公開されている。 問題の「CVE-2019-5736」は、ファイル記述子の処理に起因する脆弱性。細工したコンテナより「runc」のバイナリを上書きし、ホストするシステムのroot権限でコードの実行が可能となる。 開発グループでは、OpenWallにおけるルールのもと、2月18日にエクスプロイトコードを公開すると予告。利用者に対し、それまでに脆弱性へ対応するよう呼びかけていたが、同日を待たず、複数の実証コード（PoC）が公開されている状態だ。 GitHubでは、開発グループとは関係ないと見られる複数の第三者が「CVE-2019-5736」の「PoC」をアップロード、公開しており、誰でも容易に入手できる状態となっている。こう

ファイル転送サービス「宅ふぁいる便」より、約480万件の顧客情報が流出した問題で、オージス総研はあらたに流出が判明した情報について明らかにした。 これまで氏名や都道府県、生年月日、性別、業種、職種、ログイン用に用いるメールアドレスやパスワードなどが流出したことがわかっているが、あらたに流出を確認した情報を追加したもの。 ログイン用以外に登録したメールアドレスのほか、2005年から2012年までに回答した居住地の郵便番号や勤務先の都道府県、郵便番号が含まれる。また配偶者や子どもの状況など、選択肢より選んだ「番号」についても流出したという。 同社では、1月29日よりあらたにフリーダイアルの窓口を追加し、顧客対応を強化した。 またIDやパスワードの使い回しなど行っている場合は変更するよう求めるとともに、同サービスを装い、パスワードの再発行や口座番号の確認にみせかけたフィッシングメールなどへ注意す

Windowsのタスクスケジューラに未修正の脆弱性が見つかった問題で、公開された実証コードの動作は64ビット版の「Windows 10」「Windows Server 2016」に限定されることがわかった。ただし、修正を加えたコードが32ビット環境でも動作したことが確認されており、広く影響を及ぼすおそれがある。 同脆弱性は、「タスクスケジューラ」において「アドバンストローカルプロシージャコール（ALPC）」の処理に起因するもので、権限の昇格が生じるおそれがある。 脆弱性について分析したセキュリティ研究者によれば、今回の脆弱性は、タスクスケジューラに用意されたAPI関数「SchRpcSetSecurity」に起因。権限のチェックに失敗し、ゲストを含めてローカル環境でファイルを呼び出す際にシステム権限が取得できる。 同研究者が公開済みの実証コードを分析したところ、32ビット版のWindowsに

Windowsの「タスクスケジューラ」にあらたな脆弱性が判明した。修正方法や回避策などはわかっていない。 「タスクスケジューラ」に権限昇格の脆弱性が判明したもの。「アドバンストローカルプロシージャコール（ALPC）」の処理に起因するものだという。 セキュリティ研究者がTwitterで公表し、GitHubで実証コード（PoC）などが公開されている。 CERT/CCによると、同脆弱性に対する修正方法や緩和策などはわかっていないという。 （Security NEXT - 2018/08/28 ） ツイート

Adobe Systemsは、WindowsおよびMac OS向けに「Adobe Acrobat」「Adobe Reader」のアップデートを公開した。あわせて100件以上の脆弱性を修正している。 今回のアップデートは、各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて公開したもの。同社は公開に先立ち、事前予告を行っており、修正した脆弱性はあわせて104件にのぼる。いずれも悪用は確認されていない。 3段階中もっとも重要度が高い「クリティカル（Critical）」とレーティングされた脆弱性は51件。バッファオーバーフローや解放後のメモリへアクセスする「Use After Free」、域外メモリへの書き込み、型の取り違えなどの脆弱性で、悪用されるとリモートよりコードを実行されるおそれがある。また権限の昇格が生じるセキュリティ機能がバイパ

データの交換に用いることが多い「CSVファイル」。「テキスト形式のCSVファイルに、マルウェア感染のリスクはない」と考えていたら要注意だ。こうした先入観の裏をかく標的型攻撃が確認されている。 「.csv」などの拡張子でやりとりされる「CSV（comma-separated values）形式」のファイルは、その名のとおりテキストデータをカンマで区切ったものだ。表計算ソフトやデータベースなどのデータをテキスト形式で交換するために多く利用されている。 たしかに、テキストファイルをメモ帳やテキストエディタなどで開いた場合、アプリ側に脆弱性が存在しない限りは、ファイル内部に悪意あるコードが記載されていても、それらが実行され、マルウェアへ感染するおそれはない。 しかし、あくまで「テキストエディタなどで開いた場合」という条件のもとでの話に過ぎない。攻撃者が目を付けたのは、CSVファイルを開くアプリの「

Adobe Systemsは、深刻な脆弱性に対処した「Adobe Flash Player」のセキュリティアップデートをリリースした。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせてアップデートを実施したもの。 今回のアップデートでは、あわせて6件の脆弱性に対応した。 具体的には、解放後のメモリへアクセスするいわゆる「Use After Free」の脆弱性「CVE-2018-4932」を修正。 さらに範囲外のメモリへ書き込みを行う「CVE-2018-4935」「CVE-2018-4937」など、3段階中もっとも高い重要度「クリティカル（Critical）」にレーティングされた脆弱性3件を解消した。いずれも悪用されるとリモートよりコードを実行されるおそれがある。 また範囲外のメモリへアクセスし、情報漏洩などが生じる重要度が1段階低

「Windows 10」などに含まれる「Windows Defender」をはじめ、マイクロソフト製品が利用するマルウェア対策エンジン「Microsoft Malware Protection Engine」に深刻な脆弱性が含まれていることが明らかになった。 今回明らかとなった「CVE-2018-0986」は、深刻度が4段階中もっとも高い「緊急」とされる脆弱性。「バージョン1.1.14600.4」および以前のバージョンが影響を受ける。未公開の脆弱性で、悪用は確認されていないとしている。 ウェブサイトを表示したり、メールやメッセージの添付ファイルを開くなど、細工されたファイルを同エンジンでスキャンするとメモリ破壊が発生、リモートよりコードを実行されるおそれがある。リアルタイム保護にくわえ、定期的なスキャンを実施した場合にも影響を受ける。 同エンジンは、「Windows」や「Windows S

一部Windows環境において、マイクロソフトより1月以降に公開されたセキュリティ更新を適用すると、任意のコードを実行されるおそれがあることがわかった。脆弱性を修正するアップデートがリリースされている。 今回明らかとなった脆弱性「CVE-2018-1038」は、Meltdownの緩和策として1月3日以降に公開されたパッチを適用することであらたに生じる権限昇格の脆弱性。 悪用には、システムにログオンする権限が必要となるが、新しいアカウントを作成したり、プログラムをインストールすることが可能となり、任意のコードを実行されるおそれがある。

脆弱性が見つかりながらも開発者と連絡が取れず、アップデートされずに脆弱性が放置されている6製品についてJVNで情報が公開された。利用の中止が呼びかけられている。 今回JVNを通じて脆弱性情報が公開されたのは「WebProxy」「QQQ SYSTEMS」「Tiny FTP Daemon」「ViX」「PHP 2chBBS」「ArsenoL」の6製品。「QQQ SYSTEMS」に関しては、4件の脆弱性が報告されている。 製品によって影響を受ける脆弱性の種類は異なるが、「バッファオーバーフロー」や「OSコマンドインジェクション」「クロスサイトスクリプティング（XSS）」などの脆弱性が報告されている。 いずれも開発者に対し、一定期間連絡を試みたが応答がなく、脆弱性の存在をを知らずに利用者が使用し続けるおそれがあり、情報セキュリティ早期警戒パートナーシップガイドラインの条件を満たしたとして周知を目的に

「WannaCry」ではない「Eternalblue」「Doublepulsar」攻撃が増加 - 「MS17-010」適用の再確認を 「Eternalblue」「Doublepulsar」による攻撃活動の増加が観測されている。警察庁では、パッチの適用状況をあらためて確認するよう注意を呼びかけた。 同庁によれば、サイバー攻撃グループ「Shadow Broker」が公開した「Eternalblue」を悪用した感染活動、あるいは「Doublepulsar」の感染端末を発信元とした攻撃の増加が観測されているという。 いずれもマイクロソフトが2017年3月に公開した月例更新「MS17-010」で修正された脆弱性を悪用する攻撃だが、発信元における前後の挙動から「WannaCrypt（WannaCry）」の感染活動とは異なるものと見られている。 同庁では、「Eternalblue」や「Doublepul

コンテンツマネジメントシステム（CMS）である「WordPress」において、DoS攻撃が可能となる脆弱性「CVE-2018-6389」が指摘されている。PoCも公開されており、最新版である「同4.9.4」においても容易に悪用できる状態となっている。 問題を指摘したのは、セキュリティ研究者のBarak Tawily氏。WordPressを導入しているサイトにおいて認証なくアクセスできるファイルより、JavaScriptのモジュールを大量にリクエストすることで、DoS状態を引き起こすことが可能になると指摘している。 同氏はPoCを公開。同氏のテスト環境では1度のリクエストで4Mバイトほどの応答があり、スクリプトでリクエストを自動化することでサービス停止状態に追い込むことができると主張。同氏がテストを行ったところ、500回ほどリクエストを行ったところでサービス停止が発生した。 同氏は、管理者ペ

Adobe Systemsは、深刻な脆弱性を修正した「Adobe Flash Player」のセキュリティアップデートを提供開始した。脆弱性はすでに悪用が確認されている。 今回のアップデートは、解放済みメモリへアクセスが行われるいわゆる「Use-After-Free」の脆弱性「CVE-2018-4877」「CVE-2018-4878」を解消するプログラム。 脆弱性の重要度は、いずれも3段階中もっとも深刻とされる「クリティカル（Critical）」。悪用された場合、リモートよりコードを実行されるおそれがある。 「CVE-2018-4878」に関しては標的型攻撃による悪用が報告されており、北朝鮮の攻撃グループ「TEMP.Reaper」が関与しているとの指摘も出ている。同社では2月5日の週にアップデートを公開するとの事前予告を行っていた。 同社は、各プラットフォーム向けにこれら脆弱性を解消する最

アーカイバ「Lhaplus」において、ファイルを展開する際、意図しないファイルが生成される脆弱性が含まれていることが明らかになった。 開発者や脆弱性情報のポータルサイトであるJVNによれば、「ZIP64形式」のファイル展開処理において検証不備の脆弱性「CVE-2017-2158」が存在するという。 細工された圧縮ファイルを処理する際、本来のファイル内容とは異なるデータで解凍処理が行われ、意図しないファイルが作成されるおそれがある。 同脆弱性は、ラックの安藤弘治氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施。開発者は脆弱性を修正した「同1.74」を公開しており、アップデートを呼びかけている。 （Security NEXT - 2018/01/11 ） ツイート