【日刊】忙しい人のためのセキュリティニュース(2017/10/06) Dnsmasqに7個の脆弱性を発見 by Google/シーメンス製スマートメーターに”致命的欠陥”/Uber iOSアプリにバックエンド”スクリーンを録画”
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- Dnsmasqに7個の脆弱性を発見 by Google
- シーメンス製スマートメーターに”致命的欠陥”
- Uber iOSアプリにバックエンド”スクリーンを録画”
- 中国のハッカー集団の攻撃を分析(ケーススタディ)
- 追伸
それでは早速、参りましょう!
Dnsmasqに7個の脆弱性を発見 by Google
Googleのセキュリティチームの発表によると、Dnsmasqに7個の脆弱性が発見された。
Blog記事によると脆弱性は以下になる。
CVE
|
Impact
|
Notes
|
PoC
|
|
CVE-2017-14491
|
RCE
|
|||
CVE-2017-14492
|
RCE
|
Heap based overflow.
|
||
CVE-2017-14493
|
RCE
|
Stack Based overflow.
|
||
CVE-2017-14494
|
Information Leak
|
Can help bypass ASLR.
|
||
CVE-2017-14495
|
OOM/DoS
|
|||
CVE-2017-14496
|
||||
CVE-2017-13704
|
Bug collision with CVE-2017-13704
|
●参考URL
シーメンス製スマートメーターに”致命的欠陥”
独・シーメンスは、同社製のスマートメーター『7KT PAC1200』に脆弱性を発見しパッチを行なったことを公表。
この脆弱性をエクスプロイトする事で、攻撃者はTCPポート80を認証無しでバイパス出来てしまう。
脆弱性にはCVE-2017-9944 <https://ics-cert.us-cert.gov/advisories/ICSA-17-278-02>がアサインされており、シーメンス社は注意喚起を行っている。
●参考URL
Uber iOSアプリにバックエンド”スクリーンを録画”
iOS Uberアプリに、ユーザーの動作を録画して収集するバックエンドが仕込まれていた事が明らかになった。
Uber社の発表によれば、同機能はApple WatchとiPhoneをシンクさせるユーザー用の機能で、MapデータをApple Watchに送る為だったという。
Uber社のユーザープライバシーポリシーは、以前からユーザーからの反感を買ってきた。
例えば、競合であるLyftを使っているユーザーに対して配車制限をしたり、Lyftの使用状況等の記録までしていた。
Uber社は上記のいずれの機能も削除したと公表したが、ユーザーの指摘がなければ削除しないのには疑問を抱かざるを得ない。
まだユーザーの気づかれない所で、Uberアプリにはバックエンド機能が含まれているかもしれない。
中国のハッカー集団の攻撃を分析(ケーススタディ)
McAfeeの調査によれば2014年で5.7兆円もの大金がハッカー集団によるサイバー攻撃で失われたという。
2015年には中国が発信元のサイバー攻撃による被害が一番多く、アメリカやロシアの企業が被害に遭った。
大量のお金が中国に不正に流れていて、昨今の中国の経済発展の一助となっているのではないだろうか。
追伸
本日もここまで読んでくださりありがとうございます。
このブログでは主にマルウェアや脆弱性、企業の情報漏洩の話をしていますが、ツイートではよりセキュリティを身近に感じてもらえるようなツイートを心がけています。
そしたら今日、嬉しいお話を聞きました。
実は今日は東京駅付近にある韓国料理屋さんに行ってきました。
一緒に御飯を食べた大学時代の後輩が、「Ichiさんのセキュリティに関する一連のツイートをみて、ウイルスバスターをMacにインストールしました!」って話してくれたんです。
セキュリティ強化でいちばん大事なのがユーザー教育なので、一人でもそうやってセキュリティに関心を持って実際に行動に移してくれる人が現れたのは嬉しいです。
これからもますます、セキュリティ文化を広めるために情報発信を行なっていきます!
Ichi