拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2017-12-01 セキュリティニュースまとめ

Cisco の WebEx プレイヤーに任意のコードを実行可能な脆弱性

threatpost.com

  • Cisco のアドバイザリ(英語)
  • Cisco の WebEx Network Recording Player for Advanced Recording Format (ARF)、WebEx Recording Format (WRF) ファイルの脆弱性を悪用すると任意のコードを実行可能になる問題
  • 悪意のある ARF/WRF ファイルをメールで送信して開かせる、または悪意のあるファイルを設置したサイトにメールや SNS で誘導するなどの攻撃が考えられる
  • Common Vulnerabilities and Exposures (CVE) 番号で、CVSS スコアは 9.6 (危険)

  • CVE-2017-1236

  • CVE-2017-12368
  • CVE-2017-12369
  • CVE-2017-12370
  • CVE-2017-12371
  • CVE-2017-12372

  • パッチ適用以外の緩和・回避策: なし

  • Chrome 用、FireFox 用の機能拡張も更新を

ブラウザで暗号通貨の採掘を行う悪質なサイトにマイニングを継続させる新たな試み

blog.malwarebytes.com

  • coinhive などの暗号通貨を採掘するためのスクリプトを閲覧者に断りなくブラウザ上で実行する悪質なサイトに新たな手法
  • スクリプトによるコイン採掘の難点はブラウザが閉じられるとそこで採掘が終わってしまうこと
  • これに対し密かに開いたブラウザウィンドウをタスクバーの裏に隠すことでマイニングを継続しようとするサイトが確認された
  • ブラウザの CPU 使用率を 100% に張り付かせず、ウィンドウを閉じたつもりで実はプロセスが残存していることに気づかないように工夫している
  • Monero のコインを採掘しようとするこのスクリプトは WebAssembly のサポート有無をまずチェックし、サポートされていなければ動作の遅いJavaScript にフォールバックする

検出・回避方法:

Windows の場合、タスクバーのサイズを変更して隠されたウィンドウを表示して閉じるか、タスクマネージャーでプロセスを終了する。

このエントリでは Mac OS、*NIX 系 OS の説明はないのだけど、前者の場合すべてのウィンドウを閉じてもプロセス自体は存続するので、Cmd+Option+Tab でブラウザのアプリケーションに切り替えた後、Cmd + Q すれば全ウィンドウが閉じるはず。あるいは Finder のファイルメニューから強制終了するか、Activity Monitor アクティビティモニターから終了してもよいか。後者は pstree で探して kill コマンドあたりで対応すればよさそう?

JVN#78501037 Movable Typeプラグイン A-Member および A-Reserve における SQL インジェクションの脆弱性

JVN#78501037: Movable Type 用プラグイン A-Member および A-Reserve における SQL インジェクションの脆弱性

  • CVSS v3 スコア 7.5、CVSS v2 7.5 で分類は「危険」
  • 攻撃元はネットワーク、攻撃条件の複雑さは低、特権不要、ユーザ関与レベル不要で易攻撃性の高い脆弱性
  • IPA からの情報は以下

www.ipa.go.jp

  • MITRE に攻撃のデモあり

cwe.mitre.org