2021年9月のセキュリティアップデート解説:Adobe/Apple/Chrome 編・iPhoneの「ゼロクリック」脆弱性など-セキュリティブログ

この9月のセキュリティアップデートではいつものMicrosoft、Adobeに加え、Google Chrome、Appleについても注目すべきアップデートがリリースされています。
Microsoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて、トレンドマイクロセキュリティブログより紹介します。

 

■Adobe社による2021年9月のセキュリティアップデート

この9月、Adobeは以下のソフトウェアにおける59件の脆弱性を保護するパッチを15件リリースしました。このうち、17件の脆弱性はトレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」によって発見・報告されています。

  • Adobe Acrobat Reader
  • XMP Toolkit SDK
  • Photoshop
  • Experience Manager
  • Genuine Service、
  • Digital Editions
  • Premiere Elements
  • Photoshop Elements
  • Creative Cloud Desktop
  • ColdFusion
  • Framemaker
  • InDesign
  • SVG-Native-Viewer
  • InCopy
  • Premiere Pro

Adobe Acrobatでは全部で26件のバグが修正されています。深刻度については、このうち13件は「緊急」、9件は「重要」、4件は「警告」と評価されています。
中でも最も深刻なバグは型の取り違えによるメモリ破損の可能性や、ヒープベースのバッファオーバーフローあるいは解放済みメモリ使用(UAF)の脆弱性を利用してリモートでコード実行ができてしまう可能性がありました。
Photoshopのパッチで修正された脆弱性も、特別に細工されたあるファイルを開くとコードが実行されてしまう可能性がありました。
FramemakerのアップデートにはZDIのリサーチャ、Mat Powell氏が発見した脆弱性が5件含まれています。中でも、ユーザから提供されたデータの検証が不適切な脆弱性であり、メモリ破損に陥る可能性があります。
まだColdFusionを使用しているならば、今回修正されている「緊急」と評価されたセキュリティ機能バイパスの脆弱性2件は迅速にパッチ適用することを推奨します。

AdobeのPSIRT pageにあるパッチをすべて確認することができます。
今月修正されたバグの中には、リリース時点で、一般に公開されている、或いは活発な攻撃を受けているバグはありません。

 

■Apple社のパッチ

Appleは第二火曜日にパッチをリリースするという慣習を採用していませんが、9月に入り複数の緊急性を要する2つのバグを修正するパッチがリリースされています。
CVE-2021-30860ではリモートでのコード実行を可能にし得るCoreGraphicsのインプットバリデーションバグが修正されています。なお、Appleはこのバグが悪用されているという報告を認識している、と述べています。
この攻撃に関してはCitizen Labが詳細を報じており、サウジアラビアの活動家のiPhoneを狙って使用されたことを示しています。
現時点では広範囲の攻撃にこの脆弱性を利用した攻撃が行われている可能性は低いものの、それは今後も攻撃が発生しないことを意味するものではありません。
「ゼロクリック」で任意の不正コードを実行できるとされるこの脆弱性の問題を真剣に受け止め、直ちにアップデートを行うことを推奨します。

またAppleはWebkit内の解放済みメモリ使用(UAF)の脆弱性「CVE-2021-30858」も実際に悪用が確認されていると言及しました。この2つの脆弱性はiOS、iPad OS、watchOS、Safari、Catalinaおよび Big Surを始め、複数のApple製品に影響を与えます。

 

■Google Chromeのパッチ

Googleは先日、Chromeの新バージョンをリリースしています。これは9件の脆弱性に対応するもので、そのうち2個はアクティブな攻撃が発生しています。
CVE-2021-30632は境界外書き込み(Out-of-Bounds Write, OOB Write)の脆弱性、CVE-2021-30633は解放済メモリ使用(UAF)の脆弱性です。両方とも匿名のリサーチャにより報告されており、ユーザがログオン状態にある場合、コードが実行されてしまう恐れがありました。
今回のリリースで修正されたバグはすべて、Googleにより重大度「高」の評価を受けています。Chromeを利用しているのならば、必ずアップデートをして最新のバージョンを使用するようにしてください。

因みに、現時点で、これらのGoogle Chromeの修正がChromium ベースMicrosoft Edge に反映されている訳ではなく、Microsoft編で取り上げたEdgeの脆弱性と関連性はありません。

 



本記事は、トレンドマイクロ様の許諾の元、「トレンドマイクロ・セキュリティブログ」の内容をベースに作成しております。
ソース:https://blog.trendmicro.co.jp/archives/28766

関連記事

ピックアップ記事

  1. 前回、前々回とご案内の「デジタル化・DX推進展」、皆さんはもう参加されましたか? 東京・大阪での展…
  2. テレワークやDX(デジタルトランスフォーメーション)、コロナ禍も後押しし、企業の働き方は大きく変わり…
  1. まだまだ開催中! デジタル化・DX推進展2022 ~イベントレポート編~ [PR]

  2. 松田軽太の「ボッチ情シスノススメ」#23:業務改善の実施は計画的に!

  3. 業務サービス辞典:クラウド型B2B請求代行サービス「SEIKYU+」

  4. 情シスアカデミア#01:ASP/SaaS/クラウド事始め「コンピュータの基礎」

  5. DXを実現するためのあるべきITシステム「スサノオ・フレームワーク」とは-IPA

  6. 使える! 情シス三段用語辞典126「HTTP/3」

  7. 【DX白書2021】日米企業におけるDX動向を解説-IPA

  8. いまさら聞けない【情シス知識】Windowsサンドボックス:君子危うきに近寄らず!?

  9. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  10. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
ページ上部へ戻る