知らなかったでは遅い!パソコンやスマホなどの更新・修正プログラム情報

パソコンやスマホなどに欠陥が見つかれば更新プログラムで自動的に修正されています。それだけハッカーが欠陥をついてサイバー攻撃してくるわけですが、最新の情報を知らなかったでは手遅れになりますので、マイクロソフトやアップルなどのメーカー各社に任せながらも情報は常に把握しておきたいところです。

更新日 2018年01月20日

合計 231pv


大人のADまとめ

ハリウッド映画ばりのスパイ活動を行うマルウェア「Skygofree」が発見されたことを、Kaspersky Labが報告している。監視ソリューションを提供するイタリアのIT企業が開発したものとKaspersky Labではみており、サイバー監視を目的に設計された極めて高度なモバイルマルウェアだとしている。大手モバイル通信事業者を装った偽のウェブサイトにおいて、モバイル通信速度改善のためのアップデートを装って拡散されていたという。

  出典 LINEを監視 マルウェア発見 | 2018/1/20(土) 10:16 - Yahoo!ニュース

セキュリティ・ファームの ICEBRGは2018年1月17日(米国時間)、「MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES|ICEBRG, Inc.」において、Chrome Web Storeで、世界中の50万人ほどのユーザーに影響を与えたと見られる悪質なChromeエクステンションを4つ発見したと発表した。

  出典 悪質なChromeエクステンションを4つ発見 50万超のユーザーに影響 - ライブドアニュース

悪質とされているChromeエクステンションは次のとおり。

Nyoogle - Custom Logo for Google

Lite Bookmarks

Stickies - Chrome's Post-it Notes

Change HTTP Request Header

  出典 悪質なChromeエクステンションを4つ発見 50万超のユーザーに影響 - ライブドアニュース

これらエクステンション自体は特に問題がないように見えるが、外部からJavaScriptコードを受け取ることが可能な仕組みになっており、最終的にユーザーの通信を監視して特定の広告をクリックするような実装になっていると説明がある。

多くのユーザーが便利な拡張機能を提供するエクステンションを愛用しているが、利用するエクステンションがセキュリティ上、安全か、マルウェア/アドウェアとして動作するのかを判定することは難しい。

エクステンションはChromeの人気に直結する機能であるだけに、利用できる機能自体を制限することは難しいと見られる。多くのユーザーが使っているエクステンションだとしても、それが安全であるとは限らないため注意が必要。セキュリティベンダーなどから提供される最新の情報をチェックするとともに、必要に応じて迅速に対処していくことが望まれる。


  出典 悪質なChromeエクステンションを4つ発見 50万超のユーザーに影響 - ライブドアニュース

コンピューターの頭脳として世界中のパソコンやスマートフォンなどに使われている「CPU」と呼ばれる装置に、サイバー攻撃に悪用されるおそれがある深刻な欠陥が見つかり、ソフトウエアメーカーなどが緊急に修正プログラムを公開して、アップデートするよう呼びかけています。

欠陥が見つかったのはコンピューターの頭脳にあたる「CPU」と呼ばれる装置で、発見した海外の研究者らが公開した情報によりますと、この欠陥を悪用すると本来は特定のユーザーしか見ることができないパスワードなどの機密情報を第三者に見られてしまうおそれがあるということです。

  出典 全世界のパソコンやスマホ CPUに深刻な欠陥 攻撃のおそれ | NHKニュース


影響は、世界中のほぼすべてのパソコンやスマートフォン、ゲーム機などに及ぶおそれがあり、マイクロソフトやアップルなどのメーカー各社では今月に入って緊急に修正プログラムを公開し、ユーザーにアップデートするよう呼びかけています。

この欠陥を悪用したサイバー攻撃はまだ確認されていませんが、セキュリティ企業「トレンドマイクロ」の岡本勝之さんは「こうした設計上の欠陥はサイバー攻撃で狙われやすい。パソコンは自動でアップデートされるものが多いが、スマートフォンには自動で修正されないものもあり、注意が必要だ」と話しています。

  出典 全世界のパソコンやスマホ CPUに深刻な欠陥 攻撃のおそれ | NHKニュース

 米NVIDIAは1月10日、3日に報告されたCPUの脆弱性に対する緩和策として、ドライバソフトウェア向けのセキュリティアップデート公開を発表した。一方、GPUハードウェアについては、今回報告されたセキュリティ問題の影響は受けないと強調している。

 NVIDIAのソフトウェアアップデートでは、IntelやARMのCPUに報告された3件の脆弱性のうち、「Spectre」と呼ばれる2件の脆弱性(2017-5753、2017-5715)に対する緩和策を提供する。

  出典 NVIDIA、CPUの脆弱性対応でドライバのアップデート公開 GPUは影響受けず - ITmedia NEWS

一方、「Meltdown」と呼ばれる脆弱性(CVE-2017-5754)については、影響を受けるCPU上で実行する際のNVIDIAソフトウェアの脆弱性は、現時点で確認されなかったとしている。

 アップデートは、GeForce、Quadro、NVS、Tesla、GRIDの各ドライバソフトウェアが対象となる。

  出典 NVIDIA、CPUの脆弱性対応でドライバのアップデート公開 GPUは影響受けず - ITmedia NEWS

米Microsoftは1月9日(日本時間10日)、月例セキュリティ更新プログラムを公開し、WindowsやOfficeに存在する深刻な脆弱性に対処した。

 Microsoftによると、更新プログラムの対象となるのはInternet Explorer(IE)、Edge、Windows、Office/Office Services/Web Apps、SQL Server、ChakraCore、NET Framework、.NET Core、ASP.NET Core、Adobe Flashの各製品。

  出典 Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正 - エキサイトニュース

セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)によれば、今回の更新プログラムでは計56件の脆弱性が修正された。このうち16件が最大の深刻度である「緊急」、38件が「重要」に指定されている。

 Officeの脆弱性のうち1件(CVE-2018-0802)については攻撃の発生が報告されている。また、Office 2016 for Macの脆弱性(CVE-2018-0819)は事前に情報が公開されていたが、攻撃の発生は確認されていないという。

  出典 Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正 - エキサイトニュース

米Adobe Systemsは1月9日、Flash Playerのセキュリティアップデートを公開し、1件の脆弱性を修正した。

 Adobeのセキュリティ情報によると、今回のアップデートでは境界外読み取りに関する脆弱性に対処した。悪用されれば情報流出の恐れがあるとされ、緊急度は同社の3段階評価で中間の「重要」、優先度は「2」と位置付けている。

 脆弱性はFlash Playerの28.0.0.126までのバージョンに存在していて、Windows、Mac、Linux、Chrome OSの各プラットフォームが影響を受ける。Adobeはアップデート版のバージョン28.0.0.137で、この問題を解決したとしている。

 ユーザーが自動更新を有効にしている場合、また、Google ChromeやMicrosoft EdgeおよびInternet Explorer 11(Windows 10または8.1向け)を使っている場合は、Flash Playerのアップデートが自動的に適用される。

 米Microsoftが同日リリースした月例セキュリティ更新プログラムにも、Flash Playerのアップデートが含まれている。

  出典 Adobe、Flash Playerの脆弱性に対処 悪用されれば情報流出の恐れ - エキサイトニュース

米Intelは1月3日(現地時間)、複数のセキュリティ研究者が開示したプロセッサの2つの脆弱性について、この問題はIntelのプロセッサ固有のものではなく、米AMDや英Arm、OS提供企業などと対策のために協力していると説明した。

 この脆弱性は、オーストリアのグラーツ工科大学や米Googleの研究者が発見し、「Meltdown」と「Spectre」と名付けた。まだ対策はないが、Intelは「現在のメディアによる不正確な報道に対処するため」、脆弱性の存在を認める声明を出したとしている。具体的な対策については「対策のためのソフトウェアおよびファームウェアのアップデートが可能になる来週発表する」という。

  出典 Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明 - ITmedia エンタープライズ

Intelによると、この脆弱性を悪用されるとデータを盗まれる可能性はあるが、データを改ざんされたり削除されたりすることはないという。

ユーザーがこの脆弱性に対処するためには、各社のプロセッサを搭載する端末のメーカーやOSメーカーによるソフトウェア/ファームウェアの更新を適用する必要がある。

 米Googleは同日、同社製品でユーザーによる何らかの対処を必要とするケースについて説明した。Android端末は、最新セキュリティパッチを適用すれば安全という。Googleアプリ、Google App Engineも影響を受けない。ChromeおよびChrome OSについては、「サイト分離」を有効にすると安全としている。すべての製品についての関連情報はサポートページにまとまっている。

  出典 Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明 - ITmedia エンタープライズ

米Appleは、12月2日付でリリースした「iOS 11.2」のセキュリティ情報を公開し、「KRACK」と呼ばれるWi-Fi関連の脆弱性などを修正したことを明らかにした。

 KRACKの脆弱性は、同時に公開されたApple Watch向けの「watchOS 4.2」、Apple TV向けの「tvOS 11.2」でも修正されている。

  出典 Apple、KRACKの脆弱性に対処 「iOS 11.2」などのセキュリティ情報を公開 - ITmedia エンタープライズ

KRACKはWi-Fiに使われている暗号化技術「WPA2」に関する脆弱性で、悪用されればWi-Fiの圏内にいる攻撃者に、暗号化されているはずの情報を読み取られる可能性が指摘されていた。

今回のアップデートでは他にも、iOSとwatchOS、tvOSに共通するカーネルやIOSurfaceなどの脆弱性が多数修正された。悪用された場合、アプリケーションが任意のコードを実行できてしまうなど、深刻な脆弱性が多数を占めている。

  出典 Apple、KRACKの脆弱性に対処 「iOS 11.2」などのセキュリティ情報を公開 - ITmedia エンタープライズ
  • このエントリーをはてなブックマークに追加

話題まとめHOT

当サイトについて ご利用規約 新規登録 ログイン プライバシーポリシー お問い合わせ


Copyright(c)情報まとめサイトADまとめ All Rights Reserved.