2017年9月の日記
iOS 11、Safari 11、tvOS 11、Xcode 9、watchOS 4 が公開されました。セキュリティ更新が含まれています。
また 9月12日付で公開された iTunes 12.7 にもセキュリティ更新が含まれているそうです。詳細はまだ明らかにされていません。
ご利用の方は更新してください。
Mac 用の端末アプリ iTerm2 に、パスワードなどを DNS サーバーに送信してしまう欠陥があることが判明しました。
Preferences → [Advanced] → [Sematic History] → [Perform DNS lookups to check if URLs are valid?] オプションが yes の場合(既定値で yes のようです)、パスワードなどが予期せず DNS サーバーに送られることがあります。DNS を通じてパスワードなどが漏洩するおそれがあります。
最新版の iTerm2 v3.1.1 では既定値で no に変更されています。最新版に更新するか、あるいは上記オプションを no に設定してください。
古くから広く利用されているシステムメンテナンスツール「CCleaner」の改竄版が正規サーバーから配布されるという事態が発生しました。
改竄されたのは CCleaner v5.33.6162 32-bit 版 (2017.08.15 公開) と CCleaner Cloud v1.07.3191 32-bit 版 (2017.08.24 公開) です。改竄版の CCleaner を実行すると、コンピューター名、IP アドレス、インストール済ソフトウェア一覧 (Windows アップデートを含む)、動作中プロセス一覧、最初の 3 つのネットワークアダプタの MAC アドレス、付随する情報 (プロセスが管理者権限を持つかどうか、64-bit システムかどうか、など) が外部に漏洩します。理工学部でも、改竄版の CCleaner の存在を確認しています。
龍大標準のアンチウイルスソフト Symantec Endpoint Protection は既に改竄版 CCleaner に対応しています。Trojan.Sibakdi として検出します。
CCleaner v5.34 および CCleaner Cloud 1.07.3214 は安全であることが確認されています。最新版をご利用ください。
各種 OS の Bluetooth 実装に“BlueBorne”と呼ばれる欠陥があり、外部から勝手に情報を取得されたり機器を操作されたりされる恐れがあることが判明しています。
Bluetooth 機能を無効に設定すれば、この欠陥は回避できます。不要な場合は、Bluetooth 機能は無効に設定してください。
各種 OS での状況を以下に示します。
Android Security Bulletin—September 2017 の patch level 2017-09-01 で修正されています。各社の Android デバイスにおいてどのような対応状況かについては、各社にそれぞれご確認ください。
Google Play で確認ツール BlueBorne Vulnerability Scanner by Armis が公開されています。これによって欠陥の有無を確認できます。
iOS 10.x、tvOS 10.x では修正されています。最新の iOS、tvOS を利用してください。iOS 9.3.5 以前、tvOS 7.2.2 以前には欠陥があります。
Microsoft 2017 年 9 月 月例セキュリティ更新プログラムで修正されています。Windows Update などを利用して更新プログラムをインストールしてください。
各ディストリビューションから Bluetooth および・または Kernel の修正パッケージが配布されています。各ディストリビューション付属の更新ツールを利用して更新してください。
2012年11月28日発売のコレガの無線 LAN ルーター CG-WLR300NM に複数のセキュリティ欠陥が発見されています。
CG-WLR300NM のサポートは終了しているため、上記欠陥は永遠に修正されません。CG-WLR300NM は廃棄し、別の機械に入れ換えてください。
2014年2月22日発売の NTTドコモ Wi-Fi STATION L-02F に、バックドア(裏口)機能が含まれている欠陥が発見されています。WAN 側から誰でも任意のコマンドを管理者権限で実行できてしまいます。
修正版ファームウェアが用意されています。上記リンクを参照して、アップデートしてください。