2021年9月のセキュリティアップデート解説:Adobe/Apple/Chrome 編・iPhoneの「ゼロクリック」脆弱性など-セキュリティブログ

この9月のセキュリティアップデートではいつものMicrosoft、Adobeに加え、Google Chrome、Appleについても注目すべきアップデートがリリースされています。
Microsoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて、トレンドマイクロセキュリティブログより紹介します。

 

■Adobe社による2021年9月のセキュリティアップデート

この9月、Adobeは以下のソフトウェアにおける59件の脆弱性を保護するパッチを15件リリースしました。このうち、17件の脆弱性はトレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」によって発見・報告されています。

  • Adobe Acrobat Reader
  • XMP Toolkit SDK
  • Photoshop
  • Experience Manager
  • Genuine Service、
  • Digital Editions
  • Premiere Elements
  • Photoshop Elements
  • Creative Cloud Desktop
  • ColdFusion
  • Framemaker
  • InDesign
  • SVG-Native-Viewer
  • InCopy
  • Premiere Pro

Adobe Acrobatでは全部で26件のバグが修正されています。深刻度については、このうち13件は「緊急」、9件は「重要」、4件は「警告」と評価されています。
中でも最も深刻なバグは型の取り違えによるメモリ破損の可能性や、ヒープベースのバッファオーバーフローあるいは解放済みメモリ使用(UAF)の脆弱性を利用してリモートでコード実行ができてしまう可能性がありました。
Photoshopのパッチで修正された脆弱性も、特別に細工されたあるファイルを開くとコードが実行されてしまう可能性がありました。
FramemakerのアップデートにはZDIのリサーチャ、Mat Powell氏が発見した脆弱性が5件含まれています。中でも、ユーザから提供されたデータの検証が不適切な脆弱性であり、メモリ破損に陥る可能性があります。
まだColdFusionを使用しているならば、今回修正されている「緊急」と評価されたセキュリティ機能バイパスの脆弱性2件は迅速にパッチ適用することを推奨します。

AdobeのPSIRT pageにあるパッチをすべて確認することができます。
今月修正されたバグの中には、リリース時点で、一般に公開されている、或いは活発な攻撃を受けているバグはありません。

 

■Apple社のパッチ

Appleは第二火曜日にパッチをリリースするという慣習を採用していませんが、9月に入り複数の緊急性を要する2つのバグを修正するパッチがリリースされています。
CVE-2021-30860ではリモートでのコード実行を可能にし得るCoreGraphicsのインプットバリデーションバグが修正されています。なお、Appleはこのバグが悪用されているという報告を認識している、と述べています。
この攻撃に関してはCitizen Labが詳細を報じており、サウジアラビアの活動家のiPhoneを狙って使用されたことを示しています。
現時点では広範囲の攻撃にこの脆弱性を利用した攻撃が行われている可能性は低いものの、それは今後も攻撃が発生しないことを意味するものではありません。
「ゼロクリック」で任意の不正コードを実行できるとされるこの脆弱性の問題を真剣に受け止め、直ちにアップデートを行うことを推奨します。

またAppleはWebkit内の解放済みメモリ使用(UAF)の脆弱性「CVE-2021-30858」も実際に悪用が確認されていると言及しました。この2つの脆弱性はiOS、iPad OS、watchOS、Safari、Catalinaおよび Big Surを始め、複数のApple製品に影響を与えます。

 

■Google Chromeのパッチ

Googleは先日、Chromeの新バージョンをリリースしています。これは9件の脆弱性に対応するもので、そのうち2個はアクティブな攻撃が発生しています。
CVE-2021-30632は境界外書き込み(Out-of-Bounds Write, OOB Write)の脆弱性、CVE-2021-30633は解放済メモリ使用(UAF)の脆弱性です。両方とも匿名のリサーチャにより報告されており、ユーザがログオン状態にある場合、コードが実行されてしまう恐れがありました。
今回のリリースで修正されたバグはすべて、Googleにより重大度「高」の評価を受けています。Chromeを利用しているのならば、必ずアップデートをして最新のバージョンを使用するようにしてください。

因みに、現時点で、これらのGoogle Chromeの修正がChromium ベースMicrosoft Edge に反映されている訳ではなく、Microsoft編で取り上げたEdgeの脆弱性と関連性はありません。

 



本記事は、トレンドマイクロ様の許諾の元、「トレンドマイクロ・セキュリティブログ」の内容をベースに作成しております。
ソース:https://blog.trendmicro.co.jp/archives/28766

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  2. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  3. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  4. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  5. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  6. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  7. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  8. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  9. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

  10. DX時代の情シス基礎知識#01【IT戦略編】

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る