最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/07/27

Android アプリ「Hulu / フールー」に外部サービスの API キーがハードコードされている問題

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000059.html

HJホールディングス株式会社が提供する Android アプリ「Hulu / フールー」には、外部サービスの API キーがハードコードされている問題 (CWE-798) が存在します。

ソースコード内にハードコードされた値は、悪意ある第三者の解析により容易に取得されてしまう可能性があります。
スマートフォンアプリはWebアプリとは異なりアプリ本体が利用者のもとに渡ります。そのためアプリ開発者は、重要な情報をサーバー内に持つなどし、できる限りアプリ内には含めないことが大切です。
 

2022/07/25

untangle における複数の脆弱性

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000058.html

Christian Stefanescu が提供する untangle は XML 文書を処理するための Python ライブラリです。untangle には、次の複数の脆弱性が存在します。

・DTD の再帰的なエンティティ参照の不適切な制限 (CWE-776) – CVE-2022-33977
・XML 外部実体参照（XXE）の不適切な制限 (CWE-611) – CVE-2022-31471

XMLにはもともと、XML中に外部ファイルを流し込むことができる外部実体参照という機能があります。そのため、外部実体参照の機能が有効な場合は、XMLを外部から受け取って解析しているページで悪意ある第三者に本機能を悪用されてしまう可能性があります。
本機能を悪用する第三者は、再帰的な参照をさせることでサービスを妨害したり、サーバ内部のファイルを指定することで、本来アクセスできない情報を窃取することができる場合があります。
 

2022/07/29

ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000056.html

任天堂株式会社が提供するニンテンドーWi-Fiネットワークアダプタ WAP-001 には、次の複数の脆弱性が存在します。
OSコマンドインジェクション (CWE-78) – CVE-2022-36381
バッファオーバーフロー (CWE-121) – CVE-2022-36293

すでにサポートを終了している製品のため、脆弱性の修正は行われないとのことです。
本製品を使用している人は少ないかもしれませんが、Wifiルーターなどのネットワーク機器は何年も同じものを使い続けている人も多いかもしれません。
ルーターは重大な脆弱性がよく報告されるため、最新のファームウェアに自動更新される設定になっているか確認してください。
古いルーターを使用している場合は、最新のものに買い替えることも検討しましょう。
 

まとめのまとめ

今週はJVN iPediaという脆弱性対策情報データベースから取り上げました。
JVNはJPCERT/CCとIPAが共同で運営しており、日本で使用されているソフトウェアについて、脆弱性情報や対策を提供しています。
日々新たな脆弱性対策情報が公開されていますので、気になる方はチェックしてみてください。

JVN iPedia – 脆弱性対策情報データベース
https://jvndb.jvn.jp/index.html

担当：HT