セキュリティ
2023年4月 セキュリティ情報(Google Chrome の脆弱性[CVE-2023-2136]など)
目次
ご挨拶
「セキュリティの町医者」を目指している三浦です。早速ですが、2023年4月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome の脆弱性[CVE-2023-2136]【Microsoft Edgeも対象】)
| 一次情報元(引用元) |
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security#april-19-2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2136 |
| その他、情報ソース |
https://www.cybersecurity-help.cz/vdb/SB2023041905 https://www.cybersecurity-help.cz/vdb/SB2023042011 |
情報公開日 | Google Chrome : 2023/4/18(現地時間) Microsoft Edge : 2023/4/19(現地時間) |
| CVE番号及び深刻度 | CVE番号:CVE-2023-2136 深刻度:High (CVSSv3スコア 無し) |
| 脆弱性内容 | Chromium ベースのブラウザであるGoogle Chrome 及び Microsoft Edge で利用されている 2Dグラフィックスライブラリ「Skia」の脆弱性。 想定される攻撃手口はターゲットを騙し、細工した悪意のあるサイトに当該ブラウザでアクセスさせることになります。 |
| 想定される影響 | 任意のコードが実行される可能性があります。 |
| 影響を受ける製品 | Google Chrome(Windows用) 112.0.5615.137 より前のバージョン Google Chrome(Mac用) 112.0.5615.137 より前のバージョン Google Chrome(Linux用) 112.0.5615.165 より前のバージョン Microsoft Edge Stable Channel (バージョン 112.0.1722.54) より前のバージョン |
| 解決策 | 当該脆弱性に対応したバージョンへのUpdate 詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由は日本国内でも広く利用されているブラウザの悪用確認済み脆弱性であり、 悪意のサイトを閲覧するのみで攻撃が成立する点です。 日頃利用するブラウザであるため、優先度を上げUpdateを行うこと、もしくは自動Update設定を行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2023年3月下旬の脆弱性情報も含まれております。| 日付 | ソフトウエア | 情報/コメント |
| 2023/3/29 | Samba | The Samba Teamは複数脆弱性に対応したバージョン「Samba 4.18.1」「Samba 4.17.7」「Samba 4.16.10」をリリース。また、「Samba 4.18.0」「Samba 4.17.6」「Samba 4.16.9」向けのパッチも同時期にリリースした。 "Security Release Announcements" https://www.samba.org/samba/history/security.html "Samba Security Releases" https://www.samba.org/samba/history/ |
| 2023/4/4 | Google Chrome | Google 社はPC版及びAndroid版/iOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「High」の脆弱性を含む16件のセキュリティ修正を行っている。 "Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop.html "Chrome for Android Update" https://chromereleases.googleblog.com/2023/04/chrome-for-android-update.html "Chrome Stable for iOS Update" https://chromereleases.googleblog.com/2023/04/chrome-stable-for-ios-update.html |
| 2023/4/7 | Apple 社複数製品 | Apple 社は複数製品に存在する脆弱性に対するセキュリティアップデートを公開。なお、悪用が確認されているWebkit(HTMLレンダリングエンジン)のRCE(リモートコード実行)脆弱性[CVE-2023-28205]、IOSurfaceアクセラレータの任意コード実行脆弱性[CVE-2023-28206]が対応されている。
"Apple security updates" https://support.apple.com/en-us/HT201222 "Safari 16.4.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213722 "iOS 16.4.1 および iPadOS 16.4.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213720 "macOS Ventura 13.3.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213721 |
| 2023/4/9 (NVD[National Vulunerability Database]での公開日) |
Nginx NJS | (NVDで確認)Nginx NJS v0.7.10の複数脆弱性が公開された。なお、公開された脆弱性の中にはPoC(脆弱性を実証するためのプログラム)が公開されているものもある。
"CVE-2023-27727 Detail" https://nvd.nist.gov/vuln/detail/CVE-2023-27727 "CVE-2023-27728 Detail" https://nvd.nist.gov/vuln/detail/CVE-2023-27728 "CVE-2023-27729 Detail" https://nvd.nist.gov/vuln/detail/CVE-2023-27729 "CVE-2023-27730 Detail" https://nvd.nist.gov/vuln/detail/CVE-2023-27730 |
| 2023/4/11 | Adobe 社複数製品 | Adobe 社は、複数のソフトウェアに対するセキュリティアップデートを公開した。
"Security Updates Available for Adobe Digital Editions | APSB23-04" https://helpx.adobe.com/security/products/Digital-Editions/apsb23-04.html "Security Update Available for Adobe InCopy | APSB23-13" https://helpx.adobe.com/security/products/incopy/apsb23-13.html "Security update available for Adobe Acrobat and Reader | APSB23-24" https://helpx.adobe.com/security/products/acrobat/apsb23-24.html "Security updates available for Substance 3D Stager | APSB23-26" https://helpx.adobe.com/security/products/substance3d_stager/apsb23-26.html "Security updates available for Dimension | APSB23-27" https://helpx.adobe.com/security/products/dimension/apsb23-27.html "Security updates available for Substance 3D Designer | APSB23-28" https://helpx.adobe.com/security/products/substance3d_designer/apsb23-28.html |
| 2023/4/11 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性1件についても対応されている。
"2023 年 4 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Apr "2023 年 4 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/04/202304-security-update/ 悪用が確認されている脆弱性 "Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-28252 |
| 2023/4/11 | Mozilla Firefox/Mozilla Focus | Mozilla 社は、ブラウザFirefox /Firefox ESR/Focus のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Security Vulnerabilities fixed in Firefox 112, Firefox for Android 112, Focus for Android 112" https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/ "Security Vulnerabilities fixed in Firefox ESR 102.10" https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/ |
| 2023/4/11 | Mozilla Thunderbird | Mozilla 社は、メールソフトThunderbird のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Security Vulnerabilities fixed in Thunderbird 102.10" https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/ |
| 2023/4/12 | Junos OS | Juniper Networks, Inc.は同社製品で使用しているJunos OSのセキュリティアップデートを公開。複数の脆弱性(深刻度が最大「9.8」の脆弱性含む)が修正されている。
"2023-04 Security Bulletin: Junos OS: Multiple vulnerabilities in expat resolved" https://supportportal.juniper.net/s/article/2023-04-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-expat-resolved?language=en_US |
| 2023/4/14 | Microsoft Edge | Microsoft 社はWeb ブラウザ Microsoft Edge のアップデートを公開。なお、悪用が確認されているJavaScriptエンジン「V8」の任意コード実行の脆弱性[CVE-2023-2033]も今回のアップデートで修正されている。 "Microsoft Edge セキュリティ更新プログラムのリリースノート (2023年4月14日)" https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security#april-14-2023 "Chromium: CVE-2023-2033 Type Confusion in V8" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2033 |
| 2023/4/15 | Google Chrome | Google 社はPC版及びAndroid版のWeb ブラウザ Google Chromeのアップデートを公開。なお、悪用が確認されているJavaScriptエンジン「V8」の任意コード実行の脆弱性[CVE-2023-2033]も今回のアップデートで修正されている。 "Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html "Chrome for Android Update" https://chromereleases.googleblog.com/2023/04/chrome-for-android-update_02145145008.html |
| 2023/4/16 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - April 2023" https://www.oracle.com/security-alerts/cpuapr2023.html |
注目したインシデント
2023年3月下旬のインシデント情報も含まれております。| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/3/23 | 自治体 | 誤認識による個人情報誤記載 | 自治体のアンケート調査結果をサイトに掲載後、結果にあった個人情報が読める状態であったことが判明。文字エンコードの関係で、サイト情報では個人情報が文字化けしていたのだが、当該データをダウンロードすると、データ末尾の個人情報が判読可能な状態であったとのこと。 |
| 2023/3/28 | 大学 | 不正アクセスによる情報流出 | 大学の研究センターが管理するPCが標的型攻撃メールによりマルウェア感染。感染PCを調査した結果、約200名の個人情報漏えいの可能性があることが判明した。 |
| 2023/3/30 | 酒造メーカー | ランサムウェア感染によるクレジットカード情報流出 | VPN機器脆弱性を悪用し不正アクセスが発生。その後、ランサムウェアに感染しサーバ内にあった一部の顧客クレジットカード情報が記載された画像データが流出した可能性があることを公表。 なお、同社ではクレジットカード情報のデータファイルはサーバ内に保存しないルールだったが、徹底が出来ていなかったことを認めている。 |
| 2023/3/31 | 情報・通信業 | 情報流出 | 業務委託している企業からインターネット接続サービス顧客の情報、約529万件が流出した可能性があることを公表。ネットワーク監視により本件が判明。この不審な通信発生については公表時点では調査中であり、新たな情報が判明次第、随時公表していくとコメントしている。 |
| 2023/3/31 | 自治体 | 誤送信によるメールアドレス情報流出 | ふるさと納税返礼品協力事業者が本来「BCC」にメールアドレスを入力するところ、誤って「CC」に入力し送信したことにより、当該メール受信者間で他受信者のメールアドレスが閲覧可能な状態になっていたことを公表した。 |
| 2023/3/31 | その他の情報処理・提供サービス業 | 不正ソフトウェアインストールによる不正アクセス | カタログギフトを制作/販売を行う企業が、委託先PCにおいて不正アクセスが発生したことを公表。インターネット閲覧中に表示されたインストール指示に従い、何らかのソフトウェアをインストールしたと思われる事象が発生。当該ソフトウェア経由で不正アクセスが行われたとコメントしている。 |
| 2023/3/31 | 建設、設備工事 | 詐取されたID/パスワードによる不正アクセス | 同社が利用してる名刺管理システムに詐取されたID/パスワードを使い不正アクセスが行われ、約66,000人の名刺情報が閲覧されたことを発表。ID/パスワードの詐取は、名刺管理システムの運営会社を名乗る人物より電話/メールで連絡があり、騙し取られたとコメントしている。 |
| 2023/4/3 | 大学 | CMS脆弱性を悪用した不正アクセスによる改ざん | 不正アクセスによりWebサイトのファイルが改ざんされ、悪意のあるWebサイトへ自動的に誘導されるインシデントが発生。不正アクセスはサイト更新システムであるCMSの脆弱性が悪用され行われたとコメントしている。 |
| 2023/4/4 (第一報) 2023/4/5 (最終報) |
自治体 | ライセンス管理不備によるメールアドレス情報流出 | メール受信者間で他受信者のメールアドレスが閲覧可能な状態になっていたことを公表。原因は同自治体が利用していた「強制BCCシステム」と呼ばれるメールをBCCで強制送信するシステムのライセンス切れによるものであった。 |
| 2023/4/12 | 情報・システム研究 | SQLインジェクション攻撃によるメールアドレス情報流出 | 研究データベースを運用しているサーバに対し、メールアドレスの情報を狙ったSQLインジェクション攻撃があったことが判明。約5,500件のメールアドレスが流出した可能性があることが分かった。なお、原因は調査中ではあるがサーバ設定不備の可能性があるとコメントしている。 |
| 2023/4/13 | 自治体 | 不正アクセスによる会議関連Webサービス停止 | 全国約90の自治体の議会関連Webサービスが、サーバへの不正アクセス被害のため、停止したことが報道された。不正アクセスの原因はCMSにログインするためのIDとパスワードの総当たり攻撃を受け、IDとパスワードが不正に窃取され、侵入されたとのこと。 |
