先週のサイバー事件簿 - メジャーアプリの更新多数
○マイクロソフト、11月のセキュリティ更新プログラムをリリース
マイクロソフトは11月14日、11月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。
Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office、Microsoft Office Servers および Web Apps
.NET Core
Skype for Business
Azure App Service on Azure Stack
Team Foundation Server
Microsoft Dynamics 365 (on-premises) version 8
PowerShell Core
Microsoft.PowerShell.Archive 1.2.2.0
脆弱性についてのセキュリティ更新プログラムは、緊急10件、重要7件、注意1件、警告1件。修正内容はリモートでコードが実行されるもの、改ざん、特権の昇格、サービス拒否、なりすましが含まれる。
このほかにも、新規セキュリティアドバイザリ2件を公開、既存のセキュリティアドバイザリ4件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加はない。
○Adobe、AcrobatとReaderの脆弱性に対するアップデートを提供
アドビシステムズは、「Adobe Acrobat」と「Adobe Reader」の脆弱性を修正するためのアップデートをリリースした。11月8日の時点で提供を予告していたもので、Windows版が対象となる。
脆弱性は、シングルサインオンに用いる「NTLMハッシュ」を盗取される可能性があるというもの。更新の重要度は3段階中の「2」なので、早急にアップデートするように注意喚起を行っている。
○Adobe Flash Playerに情報漏洩の脆弱性
アドビシステムズは、「Adobe Flash Player」に情報漏洩の脆弱性が含まれていると発表。これに合わせて、脆弱性を修正するためのアップデートをリリースした。
脆弱性は、域外のメモリを読み込むことで情報漏洩が生じる可能性があるというもの。脆弱性の悪用は確認されていない。すでに、Windows版、macOS版、Linux版、ブラウザ同梱版の最新バージョンとなる31.0.0.148が提供されているので、早急にアップデートして対処すること。
○Adobe、Photoshop CCに脆弱性を確認
アドビシステムズは11月13日、フォトレタッチソフト「Adobe Photoshop CC」に脆弱性が存在することを発表した。対象となるのは、Photoshop CC バージョン19.1.6以前で、Windows版とMac版の両方で確認されている。
脆弱性は、境界外読み取りの欠陥により情報が漏洩する可能性があるというもの。重要度は3段階中「2」となっている。
脆弱性を修正した最新バージョンは提供済み。適用優先度は高くないので、タイミングを見てアップデートをするように。
○AppleとPayPalを騙るフィッシングメール、拡散中
11月15日の時点で、2種類のフィッシングメールが拡散中。一つはAppleを、もう一つはPayPalを騙るものだ。
Appleを騙るメールの件名は、「Apple IDアカウントを回復してください」など。PayPalを騙るメールの件名は、「最終的なお知らせ:あなたのアカウントは中断されます」など。
Appleを騙るフィッシングサイトは11月12日の時点で、PayPalを騙るフィッシングサイトは11月13日の時点で稼働中。類似のフィッシングサイトが公開される可能性もあるので、警戒は怠らないこと。
○みずほダイレクトアプリにSSLサーバ証明書の脆弱性
11月16日の時点で、Android アプリ「みずほ銀行 みずほダイレクトアプリ」に、脆弱性が確認されている。影響を受けるバージョンは3.13.0以前。なおiOSアプリ版に影響はない。
脆弱性はSSLサーバ証明書の検証不備で、放置しておくと中間者攻撃による通信内容の盗聴や改ざんが行われる可能性がある、すでに最新版が提供されているので、アプリのアップデートで対策できる。
