セキュリティエンジニアが気になったニュースまとめ 2021/10/11~10/17
最近話題になったセキュリティ関連のニュースから、気になったものをまとめてみました。
2021/10/12
iOS 15.0.2 および iPadOS 15.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212846
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について把握しています。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
今回のアップデートには、悪用報告も確認されている脆弱性も含まれていますので、早急に適用することをお勧めします。
・関連記事
「iOS 15.0.2」「iPadOS 15.0.2」がリリース – 悪用報告ある脆弱性に対処
https://www.security-next.com/130631
2021/10/13
2021 年 10 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2021/10/12/202110-security-updates/
- Windows (Win32k) の脆弱性 CVE-2021-40449 は、限定的な脆弱性の悪用を確認しています。早急にセキュリティ更新プログラムを適用してください。
- Windows の脆弱性 CVE-2021-41335, Windows AppContainer の脆弱性 CVE-2021-41338、Windows DNS Server の脆弱性 CVE-2021-40469は、現時点では悪用は確認されていませんが、脆弱性の内容が一般に公開されています。早急にセキュリティ更新プログラムを適用してください。
今月の定例アップデートにて、多数の脆弱性を修正するセキュリティ更新プログラムが公開されました。その中には、すでに悪用が確認されているものや、脆弱性の内容が公開されているものも含まれているため、早急に適用することをお勧めします。
・関連記事
CVE-2021-40449
Win32k の特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-40449
CVE-2021-41335
Windows カーネルの特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-41335
CVE-2021-41338
Windows AppContainer ファイアウォール規則のセキュリティ機能のバイパスの脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-41338
CVE-2021-40469
Windows DNS サーバーのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-40469
2021/10/13
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-104.html
Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、複数のクリティカル、重要、および中度の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。
重要度クリティカルを含む脆弱性のセキュリティアップデートが公開されてますので、早急に適用することをお勧めします。
また、上記以外にも複数の製品のアップデートが公開されていますので、お使いの製品に合わせてアップデートを実施することをお勧めします。
・関連記事
セキュリティ速報および情報
https://helpx.adobe.com/jp/security.html/jp/security/security-bulletin.ug.html
Adobe、複数製品にセキュリティ更新 – CVSS基本値「9.8」の脆弱性も
https://www.security-next.com/130702
まとめ
毎月第2週は、火曜日を中心に各社で定例のセキュリティアップデートが公開されています。その中から気になったものをまとめてみました。
製品を最新の状態に保つことは、有効なセキュリティ対策にもなります。ご利用状況に合わせて、ぜひご検討ください。
担当:F