11月18日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
マイクロソフト、OutlookのAndroid版に脆弱性(最新バージョンで解消)
マイクロソフトのAndroid向けメールアプリ、「Outlook」の脆弱性が明らかになった。細工された電子メールメッセージを解析する方法になりすますものだ。認証されてしまうと、細工した電子メールメッセージを用いて、クロスサイトスクリプティングによってスクリプトが実行される可能性があるという。
重大度は「重要」に分類されており、放置すると危険が大きい。脆弱性を解消した最新バージョンがすでにGoogle Play上で公開されているので、AndroidスマートフォンでOutlookを利用しているユーザーは、すみやかにアップデートすること。
Google、Chromeの最新バージョン「78.0.3904.108」をリリース
Googleは11月18日、Chromeの最新バージョン「78.0.3904.108」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。
今回のアップデートでは脆弱性5件を修正。重要度が「高(High)」と高いものが2件存在していた。Bluetoothのメモリ解放後使用とメモリ範囲外へのアクセスによるもので、これらも合わせて修正されている。
マカフィー、同社製品の脆弱性を解消するアップデートを公開
マカフィーのコンシューマー製品に脆弱性が見つかった。同社はアップデートをリリースし、この脆弱性を解消している。対象製品は以下の通り。
- McAfee Total Protection
- McAfee Anti-Virus Plus
- McAfee Internet Security
脆弱性は、Windowsクライアントの特権エスカレーションによるもので、コード署名を確認せずに悪意あるライブラリファイルを読み込む可能性があるという。脆弱性の深刻度は「中」に分類されている。共通脆弱性評価システム「CVSSv3」のスコアは「6.1」。
今回の脆弱性を悪用した攻撃は確認されていないとのことだが、該当のソフトウェアを利用している場合はアップデートしてほしい。
ISCのBINDにサービス運用妨害の脆弱性
Internet Systems Consortiumは11月20日、同社のBIND 9に脆弱性があることを発表した。脆弱性の重大度は「中」。対象となるバージョンは以下の通り。
- BIND 9.11.6-P1から9.11.12まで
- BIND 9.12.4-P1から9.12.4-P2まで
- BIND 9.14.1から9.14.7まで
- BIND 9 Supported Preview EditionのBIND 9.11.5-S6から9.11.12-S1まで
- BIND 9.15 development branchのBIND 9.15.0から9.15.5まで
BIND 9には、接続できるTCPクライアントの数を制限する機能が存在。この機能は2019年4月のアップデートで追加され、同時接続数を計算する方式が変更となったが、ここに脆弱性が存在していた。リモートからの攻撃によってシステムリソースを過度に消費し、namedが一時的に停止したり、サービス品質が低下する可能性があるという。すでに脆弱性を修正したバージョンが公開されている。
出光クレジット、「日本きらり」を騙るメールに注意喚起
出光クレジットは11月18日、同社が運営する通販サイト「日本きらり」を装った偽メールが確認されているとして、注意を呼びかけた。
これらのメールは日本きらりを騙った偽物で、日本きらりとはまったく関係のないところから送信されている。日本きらりからメールが届いたら、まずは送信元のドメインを確認してほしい。「日本きらり」から送信されるメールのドメインは以下の通り。
- nippon-kirari@idemitsu.com
- noreply-nippon-kirari@idemitsu.com
このドメイン以外から届いたメールについては、記載されているリンクをクリックしたり添付ファイルを開いたりしないこと。そのまま削除するのが望ましい。もしリンク先に飛んでしまったり、添付ファイルを実行してしまった場合は、インターネット接続を切って、セキュリティソフトでチェックすること。