セキュリティエンジニアが気になったニュースまとめ 2022/2/7~2/13
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/2/9
「Firefox 97」がリリース – 脆弱性12件を修正
https://www.security-next.com/134012
今回のアップデートでは「Windows 11」のスクロールバー表示へ対応したほか、macOSの特定状況におけるタブ操作の読み込み速度を向上させた。あわせて12件の脆弱性を修正しているが、重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。
複数の脆弱性が修正されているため、Firefoxを利用している場合は適宜アップデートすることを推奨します。
・修正された脆弱性の一覧
Security Vulnerabilities fixed in Firefox 97
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/
2022/2/9
「Adobe Illustrator」などAdobe複数製品に深刻な脆弱性
https://www.security-next.com/134016
Adobe Systemsは、「Adobe Illustrator」をはじめ、5製品に対してセキュリティアップデートをリリースした。深刻な脆弱性などを修正している。
「Adobe Illustrator」「Adobe Photoshop」「Adobe After Effects」「Adobe Creative Cloud Desktop」「Adobe Premiere Rush」の各種製品にて、脆弱性を修正したアップデート情報が公開されています。
上記のうち、4製品で「CVSS v3.1」のスコアが「7.8」「7.0」と、深刻度がもっとも高い「クリティカル(Critical)」とレーティングされた脆弱性が修正されていますので、適宜アップデートすることを推奨します。
・参考情報
Security Updates Available for Adobe Illustrator | APSB22-07
https://helpx.adobe.com/security/products/illustrator/apsb22-07.html
Security update available for Adobe Photoshop | APSB22-08
https://helpx.adobe.com/security/products/photoshop/apsb22-08.html
Security Updates Available for Adobe After Effects | APSB22-09
https://helpx.adobe.com/security/products/after_effects/apsb22-09.html
Security update available for Adobe Creative Cloud Desktop Application | APSB22-11
https://helpx.adobe.com/security/products/creative-cloud/apsb22-11.html
Security Updates Available for Adobe Premiere Rush | APSB22-06
https://helpx.adobe.com/security/products/premiere_rush/apsb22-06.html
2022/2/9
オンライン会議「Zoom」のチャット機能に脆弱性 – 「zip爆弾攻撃」受けるおそれ
https://www.security-next.com/134026
「Zoom Client for Meetings」のチャット機能において高圧縮ファイルを用いた「zip爆撃攻撃」を受けるおそれがある脆弱性「CVE-2022-22780」が判明したもの。
脆弱性を悪用され、巨大なファイルが展開されるとリソースが枯渇し、サービス拒否に陥るおそれがある。脆弱性の重要度は「中(Medium)」、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「4.7」とレーティングされている。
上記の他、「Windows」「macOS」におけるKeybaseクライアントにおいて、ユーザーにより展開されたメッセージを適切に削除できない脆弱性「CVE-2022-22779」についても修正されていますので、適宜アップデートすることをお勧めします。
・参考情報
Security Bulletin
https://explore.zoom.us/en/trust/security/security-bulletin/
・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document
まとめのまとめ
今週は、利用頻度の高いブラウザやツールなどの製品において、脆弱性が修正されたアップデート情報をまとめました。
アップデートを面倒だと感じる人も多いと思いますが、アップデートには機能追加やバグ修正などに加えて、有識者が発見・報告したゼロデイなどの脆弱性が修正されるものも含まれます。
自身が利用している製品にアップデートの通知があった場合は、リリースノートなどの公式情報を参照し、脆弱性に対する修正がないか確認する癖を付けるといいかもしれません。
担当:KK