エクスプロイト&脆弱性
2021年9月のセキュリティアップデート解説:Adobe, Apple, Chrome 編・iPhoneの「ゼロクリック」脆弱性など
前回のMicrosoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて解説します。
前回のMicrosoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて解説します。
■Adobe社による2021年9月のセキュリティアップデート
この9月、Adobeは以下のソフトウェアにおける59件の脆弱性を保護するパッチを15件リリースしました。このうち、17件の脆弱性はトレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」によって発見・報告されました。
- Adobe Acrobat Reader
- XMP Toolkit SDK
- Photoshop
- Experience Manager
- Genuine Service、
- Digital Editions
- Premiere Elements
- Photoshop Elements
- Creative Cloud Desktop
- ColdFusion
- Framemaker
- InDesign
- SVG-Native-Viewer
- InCopy
- Premiere Pro
Adobe Acrobatでは全部で26件のバグが修正されています。深刻度については、このうち13件は「緊急」、9件は「重要」、4件は「警告」と評価されています。中でも最も深刻なバグは型の取り違えによるメモリ破損の可能性や、ヒープベースのバッファオーバーフローあるいは解放済みメモリ使用(UAF)の脆弱性を利用してリモートでコード実行ができてしまう可能性がありました。Photoshopのパッチで修正された脆弱性も、特別に細工されたあるファイルを開くとコードが実行されてしまう可能性がありました。FramemakerのアップデートにはZDIのリサーチャ、Mat Powell氏が発見した脆弱性が5件含まれています。中でも、ユーザから提供されたデータの検証が不適切な脆弱性であり、メモリ破損に陥る可能性があります。まだColdFusionを使用しているならば、今回修正されている「緊急」と評価されたセキュリティ機能バイパスの脆弱性2件は迅速にパッチ適用することを推奨します。
AdobeのPSIRT pageにあるパッチをすべて確認することができます。今月修正されたバグの中には、リリース時点で、一般に公開されている、或いは活発な攻撃を受けているバグはありません。
■Apple社のパッチ
Appleは第二火曜日にパッチをリリースするという慣習を採用していませんが、9月に入り複数の緊急性を要する2つのバグを修正するパッチがリリースされました。CVE-2021-30860ではリモートでのコード実行を可能にし得るCoreGraphicsのインプットバリデーションバグが修正されています。なお、Appleはこのバグが悪用されているという報告を認識している、と述べています。この攻撃に関してはCitizen Labが詳細を報じており、サウジアラビアの活動家のiPhoneを狙って使用されたことを示しています。現時点では広範囲の攻撃にこの脆弱性を利用した攻撃が行われている可能性は低いものの、それは今後も攻撃が発生しないことを意味するものではありません。「ゼロクリック」で任意の不正コードを実行できるとされるこの脆弱性の問題を真剣に受け止め、直ちにアップデートを行うことを推奨します。またAppleはWebkit内の解放済みメモリ使用(UAF)の脆弱性「CVE-2021-30858」も実際に悪用が確認されていると言及しました。この2つの脆弱性はiOS、iPad OS、watchOS、Safari、Catalinaおよび Big Surを始め、複数のApple製品に影響を与えます。
■Google Chromeのパッチ
Googleは先日、Chromeの新バージョンをリリースしました。これは9件の脆弱性に対応するもので、そのうち2個はアクティブな攻撃が発生しています。CVE-2021-30632は境界外書き込み(Out-of-Bounds Write, OOB Write)の脆弱性、CVE-2021-30633は解放済メモリ使用(UAF)の脆弱性です。両方とも匿名のリサーチャにより報告されており、ユーザがログオン状態にある場合、コードが実行されてしまう恐れがありました。今回のリリースで修正されたバグはすべて、Googleにより重大度「高」の評価を受けています。Chromeを利用しているのならば、必ずアップデートをして最新のバージョンを使用するようにしてください。
因みに、現時点で、これらのGoogle Chromeの修正がChromium ベースのMicrosoft Edge に反映されている訳ではなく、前回記事で取り上げたEdgeの脆弱性と関連性はありません。
参考記事:
「THE SEPTEMBER 2021 SECURITY UPDATE REVIEW」
By Dustin Childs
翻訳: 谷口 厚志(Core Technology Marketing, Trend Micro™ Research)