拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2017-12-31 セキュリティニュースまとめ

Mozilla FireFox ブラウザ、ユーザーのオプトイン・オプトアウト設定を無視してクラッシュデータを送信する不具合を修正

  • 元記事 Browser data leakage bug – Mozilla to delete info just in case – Naked Security
  • 同問題の Bugzilla ID 1427111 - [meta] crash autosubmission cleanup tracker

  • 修正された問題: ユーザーが明示的に自動送信をオプトアウトしていてもクラッシュレポートデータが Mozilla に送信されてしまう問題

  • 本問題によるユーザーへの影響: クラッシュ時にメモリ内に保存されていたデータがユーザーの同意なく Mozilla に送信される (センシティブなデータを潜在的にふくむ)
  • 対象製品: Mozilla FireFox ブラウザ
  • 影響を受けるバージョン: Firefox 52 以降
  • 修正済バージョン: 57.0.3 またはそれ以降
  • Mozilla の対応: 過去 1 年分保存しているクラッシュレポートデータがオプトインにより許可を受けて保存したものかそうでないかを保存されたデータからは判別できないため、同不具合があった期間採取されたすべてのクラッシュレポートをすべて修正版リリースから 10 日以内をめどに廃棄することを検討

Mirai の次は Satori: ファーウェイ社製ルータの脆弱性 CVE-2017-17215 を悪用した新たなボットネットソースコード、オンラインに公開される

  • 元記事 securityaffairs.co

  • 脆弱性の影響をうける製品: Huawei HG532 ホームルータ

  • Satori は 2016 年 8 月に発見された Mirai の亜種
  • UPnP 用のポート tcp/37215 を狙う
  • 悪用される脆弱性: CVE - CVE-2017-17215
  • リサーチャー「クリスマスに pastebin.com にただちにエクスプロイト可能なソースコードが公開された」「Brickerbot と Satori はおそらく同じソースコードから派生している」 blog.newskysecurity.com
  • ファーウェイからの緩和策:
    • 「デフォルトのパスワードを変更する」
    • 「ルータ組み込みの FW を設定する」
    • 「キャリア側の FW を利用する」