10月4日〜7日:サイバーセキュリティ関連ニュース
AppleのiOSおよびiPadOS向け重要アップデート、VoiceOverによるパスワード漏洩の脆弱性を修正(CVE-2024-44204他)
The Hacker News – Oct 05, 2024
Appleが今月3日、iOSとiPadOS向けのアップデートをリリース。セキュリティ上の欠陥2件に対処した。修正された脆弱性は以下の通り。
- CVE-2024-44204:パスワードアプリにおけるロジックの問題で、多数のiPhoneやiPadに影響を与えるとされる。Appleはアドバイザリの中で、この欠陥により、ユーザーが保存したパスワードがVoiceOver機能によって読み上げられる可能性があると説明。検証を改善することでこの問題を解決したと述べた。
この脆弱性の影響を受けるデバイスは以下の通り。
- iPhone XS 以降
- iPad Pro 13インチ
- iPad Pro 12.9インチ 第3世代以降
- iPad Pro 11インチ 第1世代以降
- iPad Air 第3世代以降
- iPad 第7世代以降
- iPad mini 第5世代以降
- CVE-2024-44207:メディアセッションコンポーネントに起因する問題で、「メッセージ」アプリにおける音声メッセージが、マイクのインジケーターがオンになる前に音声をキャプチャできてしまう恐れがある。iPhone 16モデルに特有の脆弱性で、この問題もチェックを改善することで修正されたと、アドバイザリの中で述べられている。
ユーザーは潜在的なリスクからデバイスを保護するために、iOS 18.0.1およびiPadOS 18.0.1にアップデートすることが推奨される。
WordPressプラグインLiteSpeed Cacheの欠陥、サイトの乗っ取りを許す恐れ(CVE-2024-47374)
Security Affairs – October 05, 2024
WordPress用のLiteSpeed Cacheプラグインに、深刻度の高いセキュリティ脆弱性が存在している。これにより、攻撃者が任意のJavaScriptを実行できるようになる恐れがあるという。
同欠陥CVE-2024-47374は、格納型XSS攻撃を可能にするCVSSスコア7.2の脆弱性。PatchStackが出した勧告によると、この脆弱性は認証されていないユーザーにサイト上の機微情報の窃取や、単一のHTTPリクエストの実行を介した特権昇格を許す可能性があるという。HTTPヘッダー「X-LSCACHE-VARY-VALUE」の不適切なサニタイズ処理に起因するもので、任意のスクリプトのインジェクションを許してしまうようだ。また、「CSS Combine」および「Generate UCSS」の設定が有効になっている場合にのみ当該欠陥の悪用が可能とのこと。
最悪のシナリオが想定されるのは乗っ取られたユーザーアカウントがサイト管理者のアカウントの場合で、そうなるとWebサイトが完全に制御され、さらに強力な攻撃を実行される可能性があるという。
この脆弱性の影響を受けるのは6.5.0.2までのバージョン。修正版となるバージョン6.5.1が先月25日にリリースされているほか、リスク緩和策が上記の勧告の中で説明されている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠