今月の第2火曜日となった2021年10月12日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。Microsoftの修正には、ゼロデイ脆弱性に国家安全保障局(NSA)指摘の脆弱性と注目の脆弱性が含まれています
続きを読む前回のMicrosoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて解説します。
■Adobe社による2021年9月のセキュリティアップデート
続きを読む2020年2月23日、VMware社は「CVE-2021-21972」、「CVE-2021-21973」、「CVE-2021-21974」の脆弱性に対処するアドバイザリ「VMSA-2021-0002」を公開しました。2020年第4四半期頃、VMware社のソフトウェア「VMware ESXi」のプラットフォームにおいて「事前認証によるリモートコード実行を行う」という深刻度の高い2件の脆弱性が確認されました。これらの脆弱性は、いずれも同一のコンポーネントである「Service Location Protocol(SLP)」サービス内に存在しており、1つは「use-after-free(UAF)」、もう1つは「ヒープオーバーフロー」が原因でした。2020年10月、VMware社は修正パッチをリリースしましたが、修正が迂回される可能性が判明したため、2020年11月に2回目の修正パッチをリリースすることで、「CVE-2020-3992」が割り当てられた「UAF」の脆弱性に対し、完全に対応しました。そして今回のアドバイザリで触れられている修正パッチで「CVE-2021-21974」が割り当てられた「ヒープオーバーフロー」の脆弱性に完全に対処しました。
このブログ記事では「CVE-2020-3992」と「CVE-2021-21974」の2つの脆弱性に注目し、「CVE-2021-21974」のヒープオーバーフローがどのようにしてコード実行に利用されたかを解説します。また、この脆弱性利用をする動作に関する簡単な動画もご確認ください。
図1:「VMware ESXi」上で事前認証によるリモートコード実行を行う脆弱性
「CVE-2021-21974」に関する動画
トレンドマイクロ運営のセキュリティ研究機関Zero Day Initiative(ZDI)が開催するハッキングコンテスト「Pwn2Own」は、この12年間で大きく成長し、進化し続けています。バンクーバーを拠点とするこのハッキングコンテストは、コンテストの対象がWebブラウザから始まり、現在では仮想化ソフトウェアや法人向けアプリケーションまで扱っています。2012年には、モバイルデバイスも追加しました。以降、さらにさまざまなタイプのデバイスを扱うまでに進化し、2019年8月に東京で実施された際には、無線ルータ、Webカメラ、スマートテレビのセキュリティ侵害も扱いました。そして今回のPwn2Ownは2020年1月21〜23日に、産業制御システム(ICS)のセキュリティを扱う「S4カンファレンス」内で開催されます。これは、Pwn2Ownにとってさらなる成長を遂げること、つまり新たにICSをコンテストの対象とすることを意味します。Pwn2OwnでICSを扱うかどうかについては長年議論されてきており、多くの課題に直面してきました。課題を克服するため、Pwn2Ownの主催者であるZDIは、ICS業界の専門家や企業と協力し、ICS製品やプロトコルのセキュリティに関連する意味のあるコンテストを目指し、製品と関連部門の選定に尽力しました。これまでのコンテストと同様、今回も、脆弱性を明らかにし、調査結果をベンダーに提供することで、プラットフォームのセキュリティ強化に努めています。主催者の目標は、これまでと変わらず「脆弱性が攻撃者に悪用される前に修正する」という点に尽きます。