皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は先日の『iOS 13.5』のリリース情報に続く『iOS 13.5.1』のリリース情報です。

iOS 13.5.1のアプデ内容

今回の『iOS 13.5.1』は『重要なセキュリティアップデート』と『バグ修正』です。

『iOS 13.5』がリリースされた直後、『iOS 13.5』が搭載されたiPhoneなどが『脱獄』できてしまうことが指摘されていました。

それに対する修正が行われたことが『重要なセキュリティアップデート』の内容です。

それ以外には、『iOS 13.5』へのアップデートを行ったことにより『バッテリー消費が激しくなった』という、『iOS』ではよく指摘される問題があがっていたようで、その問題も修正されているようです。

2週間も経たずにリリースされた『iOS 13.5.1』ではありますが、今回は『重要なセキュリティアップデート』が含まれていることもあり、『iOS 13.5』を様子見した方もアップデートされた方も、どちらも『iOS 13.5.1』にアップデートされることがお勧めです。

また、同時に『iPadOS 13.5.1』、『watchOS 6.2.6』、『tvOS 13.4.6』、『HomePod 13.4.6』のリリースも行われているようです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はiOSやmacOSなどの脆弱性情報をお伝えします。

iOSやmacOSなどの脆弱性対策アップデート

先週の23日、Appleの各OSのアップデート版がリリースされました。

まず、影響を受ける対象は以下の通りとなります。

・iOS 12.1.3 より前のバージョン

・macOS Mojave 10.14.3 より前のバージョン
・macOS High Sierra (Security Update 2019-001 未適用)
・macOS Sierra (Security Update 2019-001 未適用)
・tvOS 12.1.2 より前のバージョン
・watchOS 5.1.3 より前のバージョン
・Safari 12.0.3 より前のバージョン
・iCloud for Windows 7.10 より前のバージョン

そして、上記のApple製品において想定される影響は各脆弱性により異なるようですが、次のような影響を受ける可能性があるとされています。

・サンドボックス回避

・任意のコード実行
・権限昇格
・情報漏えい
・情報改ざん
・サービス運用妨害 (DoS)
・任意のスクリプト実行

一部では、『iOS』において前回バージョンの際に起きていた『通信回線につながらない』不具合が未だ残っているという情報もありますので暫く様子見した方が良いとも言えますが、周りの方の状況などを情報収集し、可能であればできる限り早めにアップデートされた方が良いと思われます。

ちなみに、私のiPhone xsは『iOS 12.1.3』にアップデートしても通信障害は起きていません。

他の方のiPhone 7も『iOS 12.1.3』へのアップデートにて問題は確認されませんでした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日に続きApple関連の情報です。

昨日、『iOS 12』にて『パフォーマンス改善』がされているというお話しをし、ある程度落ち着いたらバージョンアップをお勧めしました。

auにおいてはiPhone 5sがiOS 12へのアップデートでSMSの送受信ができなくなる（メッセージアプリでのMMS受信も）不具合も出ており、iOS 12へのアップデートを控える呼びかけがされています。

しかし、一方ではセキュリティ的なリスクも存在します。

Apple製品における脆弱性アップデート

iOSに限らず、他のApple製品に関しても脆弱性対応のアップデートがされており、以下のものが影響を受けるとされています。

・iOS 12 より前のバージョン

・Apple Support 2.4 for iOS より前のバージョン

・watchOS 5 より前のバージョン

・tvOS 12 より前のバージョン

・Safari 12 より前のバージョン

想定される影響として、

・情報漏えい

・アドレスバー偽装

・任意のコード実行

があげられています。

これらは既にアップデートが公開されていますので、Apple的には早期のアップデートをお勧めしますといったところでしょう。

iOS 12に限って言えば、iOS 12の正式リリースと同時に開発者向けのベータ版『iOS 12.1』が公開されており、早い段階でその正式版がリリースされる可能性が高いと思われます。

その際には、リリースが計画変更された『グループFaceTime（最大32人同時通話可能）』の機能も含めてリリースされるかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日は多くの脆弱性情報をお伝えします。

PHPやその他における脆弱性情報

4月4日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

1.複数のCisco製品に脆弱性

複数のCisco製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、Cisco IOS ソフトウェア / Cisco IOS XE ソフトウェア / Cisco IOS XR ソフトウェア。

Cisco提供の修正済みバージョンへの更新で解決。

2.複数のApple製品に脆弱性

複数のApple製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、iCloud for Windows 7.4 より前 / Safari 11.1 より前 / macOS High Sierra 10.13.4 より前 / macOS Sierra（Security Update 2018-002 未適用） / OS X El Capitan（Security Update 2018-002 未適用） / iTunes 12.7.4 for Windows より前 / Xcode 9.3 より前 / tvOS 11.3 より前 / watchOS 4.3 より前 / iOS 11.3 より前のバージョン。

Apple提供の修正済みバージョンへの更新で解決。

3.Drupalに任意のコードが実行可能な脆弱性

Drupalに任意のコードが実行可能な脆弱性があり、遠隔の第三者が、細工したリクエストを送信することで任意のコードを実行する可能性がある。

対象は、Drupal 8.5.1 より前 / Drupal 7.58 より前のバージョン（サポートが終了しているDrupal 6系やDrupal 8.4系以前についても影響を受ける）。

Drupal提供の修正済みバージョンへの更新で解決。

4.OpenSSLに複数の脆弱性

OpenSSLに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、OpenSSL 1.1.0h より前の 1.1.0 系列 / OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン。

OpenSSL Project提供の修正済みバージョンへの更新で解決。

5.Mozilla Firefox に解放済みメモリ使用の脆弱性

Mozilla Firefoxに解放済みメモリ使用の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Mozilla Firefox 59.0.2 より前 / Mozilla Firefox ESR 52.7.3 より前のバージョン。

Mozilla提供の修正済みバージョンへの更新で解決。

6.Windows 7 x64 / Windows Server 2008 R2 x64 に脆弱性

2018年1月にMicrosoftがリリースしたパッチをインストールしたWindows 7 x64 / Windows Server 2008 R2 x64に脆弱性があり、ログイン可能なユーザがシステムメモリ上の全てのコンテンツを読み出したり、書き込んだりする可能性がある。

対象は、Windows 7 x64 / Windows Server 2008 R2 x64。

Microsoft提供の更新プログラムの適用で解決。

7.Apache Struts 2 にサービス運用妨害（DoS）の脆弱性

Struts REST Pluginが使うXStreamライブラリの処理に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Apache Struts 2.1.1 から 2.5.14.1。

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

8.Ruby に複数の脆弱性

Rubyに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、Ruby 2.2.10 より前の 2.2 系 / Ruby 2.3.7 より前の 2.3 系 / Ruby 2.4.4 より前の 2.4 系 / Ruby 2.5.1 より前の 2.5 系のバージョン。

Ruby提供の修正済みバージョンへの更新で解決。

9.PHP に複数の脆弱性

PHPに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、PHP 7.2.4 より前 / PHP 7.1.16 より前 / PHP 7.0.29 より前 / PHP 5.6.35 より前のバージョン。

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

10.バッファロー WZR-1750DHP2 に複数の脆弱性

バッファロー製 WZR-1750DHP2に複数の脆弱性があり、当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上で任意のコマンドを実行するなどの可能性がある。

対象は、WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前。

バッファロー提供の修正済みバージョンへの更新で解決。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、非常に多くのデバイスで使用されているBluetoothの実装における脆弱性に関する情報です。

Bluetooth実装における脆弱性の概要

Armisというセキュリティ企業がBluetooth実装における脆弱性を発見しました。

それによると、Windows、Linux、iOSやAndroidなどの主要OSのBluetooth実装の脆弱性8件が特定され、その内の4件は重大であるとされています。

また、コンピュータ、スマートフォン、IoT機器など、82億台ものデバイスへの影響が指摘されています。

この脆弱性が悪用された場合、相手の端末とペアリングしていなくても無線経由で近くの端末を攻撃できてしまい、端末の制御、マルウェア感染、重要データなどへの不正アクセスの危険性があります。

さらに、他のネットワークから切り離された内部のセキュアネットワークにもBluetooth経由で侵入できてしまうという、非常に危険な脆弱性でもあります。

影響を受ける対象OSと対策

現状で報告されている、影響を受ける対象のOSは以下のものが挙げられています。

〇　Windows：2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows

〇　Linux：Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン

〇　iOS・tvOS：iOS9.3.5及びそれ以前、AppleTV tvOS7.2.2及びそれ以前

〇　Android：セキュリティパッチレベル2017年9月を適用していないAndroid

対策は、以下のリンクから各OSの情報を参考にしてください。

〇　Windows：Microsoft Bluetooth ドライバーのなりすましの脆弱性

〇　Linux/RedHat：Blueborne – Linux Kernel Remote Denial of Service in Bluetooth subsystem

〇　Linux/ubuntu：Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel

〇　iOS：iOS10は既に対策が実施されている

〇　Android：Android Security Bulletin―September 2017

今直ぐこれらの対策を実施されることをお勧めします。

追伸：OSのサポートが終了しているデバイスの場合、Bluetoothをオフにすることで回避するしかありません。