use after free – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 Firefox74で致命的な脆弱性が https://www.trilogyforce.com/blog/fatal-vulnerability-in-firefox-74/ Mon, 06 Apr 2020 10:12:06 +0900 https://www.trilogyforce.com/blog/?p=8822 先月、Mozillaのブラウザソフト『Firefox』のデスクトップ向け最新版『Firefox 74』がリリースされていましたが、今回、致命的な脆弱性が発覚しています。

Firefox 74.0.1リリース

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

最近、投稿が出来ない日が結構増えてきていますが、世の中の状況などもあり、暫くはこのような状況が続く可能性があります。

さて、冒頭に書いた通り、『Firefox 74』において致命的な脆弱性が発覚し、既に悪用事例も出ているということですのでご紹介します。

Firefox74で致命的な脆弱性発覚

配信されたのは今朝ほどでしょうか。

今回の脆弱性ですが、特定の条件下において解放後メモリ使用(Use-after-free)によって競合状態が発生するというものです。

深刻度は最高の『Critical(クリティカル)』とされており、これを悪用した攻撃も確認済みということで、早急な対応が求められています。

通常版:Firefox 74.0.1

企業向け延長サポート(ESR)版:Firefox 68.6.1 esr

このバージョンにて修正されています。

また、3月にリリースされた『Firefox 74』においては『TLS 1.0/1.1』のサポートが廃止されていることも付け加えておきます。

ご参考までに

]]> 2019年の投稿記事を総括する https://www.trilogyforce.com/blog/summarize-posts-in-2019/ Fri, 27 Dec 2019 17:30:35 +0900 https://www.trilogyforce.com/blog/?p=8478 早いもので2019年ももうすぐ終わりが近づいておりますが、この2019年に投稿させていただいた記事を振り返り、総括してみたいと思います。

2019年の投稿を総括します

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

いよいよ今年も残りわずかとなり、このブログへの投稿も年内は最後となります。

そこで、今日は2019年を振り返ってみたいと思います。

2019年の投稿記事を振り返る

今年は何と言っても『改元』でしょう。

2019年5月1日から『令和』がスタートし、Windowsのみならず、各システムの『改元対応』が間に合うのか懸念されたところもあったことでしょう。

日本である以上、『元号』にこだわりたい気持ちもわからなくはないですが、やはり今後は西暦で管理する方が負担が少なくて良いと思います。

改元で”Y2K”問題発生の可能性

次に、『〇〇Pay』という『モバイル決済サービス』が乱立する中、リリース早々に問題が起き、撤退することにまでなってしまった『7Pay』の乗っ取り不正利用問題が印象深いです。

7payで早くも乗っ取り不正利用

その他、『Thunderbird 64bit版』が正式に公開されたことや、iOS 13のリリースとともに登場した『Sign in with Apple』、VPNサービス『1.1.1.1 with WARP』の登場などもインパクトのあるものでした。

Thunderbird68.1で待望の64

Sign in with Appleは秘匿する

1.1.1.1 with WARP はじまる

さらには、何度かお伝えしてきた『Windows 7』のサポート終了に関して、当初はボリュームライセンス向けの延長だけであったものが中小企業向けに配慮をする措置が取られることも現状を大きく表しているような気がします。

Windows 7延長 中小企業にも

直近では、『Microsoft 365』において大規模な障害が発生したことや、Apple製品の『use-after-free』の脆弱性、『EC-CUBE』における『クレジットカード流出』もありました。

Microsoft 365 大規模障害発生

Apple製品 対策不可能な脆弱性

EC-CUBE2系でクレカ流出被害

※ 過去の記事へのリンクは一部のみ記載しています。

他にも是非再読いただきたい記事はたくさんありますが、全体の中からピックアップして振り返ってみました。

最後に、今年もこのブログにお付き合いいただきましてありがとうございました。

たまに事業者向けなのか?という記事もなくはないですが、そこは従業員の方へ事業者からアナウンスしていただきたいという意味もあって投稿しております。

来年も事業者に役立つ記事の投稿を心がけて参りますので、どうぞよろしくお願い申し上げます。

年明けは2019年1月6日(月)から投稿を予定しております。

どうぞ良いお年をお迎えくださいませ。

]]> Apple製品 対策不可能な脆弱性 https://www.trilogyforce.com/blog/apple-products-unavailable-vulnerabilities/ Mon, 23 Dec 2019 16:15:08 +0900 https://www.trilogyforce.com/blog/?p=8460 JPCERT/CC(JPCERTコーディネーションセンター)などによると、複数のApple製品において『解放済みメモリ使用(use-after-free)の脆弱性』が存在するとされています。

Apple製品 脆弱性情報

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた通り、複数のApple製品で嫌な脆弱性が存在するようです。

今日はそれについてお伝えいたします。

Apple製品の対策不可能な脆弱性

複数のApple製品で使われている『SecureROM(ブートROMレベル)』には、デバイスの起動時に解放済みのメモリ使用(use-after-free)の脆弱性が存在するとされ、製品に物理的にアクセス可能な第三者によって任意のコードを実行される可能性があると報じられています。

この脆弱性は『読み取り専用のSecureROM』に存在するため、ファームウェアアップデートなどによる対策が行えず、脆弱性を含まない製品へ移行することが対策方法だとされています。

(現時点においてAppleからはこの脆弱性情報は公開されていません。)

そして、この影響を受けるシステムは、『A5からA11チップを搭載する』次の製品であるとして報じられています。

・iPhone 4sからiPhone Xまで

・iPad第2世代から第7世代まで

・iPad Mini第2世代および第3世代

・iPad AirおよびiPad Air 2

・iPad Pro 10.5インチおよび12.9インチ第2世代

・Apple Watch Series 1からSeries 3まで

・Apple TV第3世代および4k

・iPod Touch第5世代から第7世代

また、A12以降のチップを搭載したiPHone Xs、iPhone XR、iPhone 11、及びiPad Pro 12.9インチ第三世代はこの脆弱性の影響を受けないとされています。

]]>