【テックラジオ】巷のセキュリティ 2022年01月09日

テックラジオ
テックラジオ
【テックラジオ】巷のセキュリティ 2022年01月09日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • Debug-jsにサービス拒否の脆弱性
  • OpenHarmonyに複数の脆弱性
  • usememosにクロスサイトスクリプティングの脆弱性

おまけ

  • Visual Studio Codeの拡張機能には注意しようねという話。

Debug-jsにサービス拒否の脆弱性

Debug-jsには、信頼できないユーザー入力が o フォーマッタに渡された場合に正規表現によるサービス拒否の脆弱性が存在します。すでに修正版がリリースされています。

イベントループを2秒間ブロックするには5万文字が必要らしいので深刻度は低いです。

影響をうける対象

  • バージョンが2.x.x 系
  • バージョンが3.0.x 系

対処方法

  • 2.6.9 またはそれ以上にアップデート
  • 3.1.0 またはそれ以上にアップデート

一次情報

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-20165
  • https://github.com/advisories/GHSA-gxpj-cx7g-858c

OpenHarmonyに複数の脆弱性

OpenHarmony(HarmonyOS)には、通信サブシステムの softbus_client_stub に認証バイパスの脆弱性があり、「SA リレー攻撃」を受ける可能性があります。 

影響をうける対象

  • OpenHarmony-v3.0-LTS から OpenHarmony-v3.0.5-LTS までのバージョン

対処方法

  • OpenHarmony-v3.0.6-LTS、またはそれ以上へのアップデート

一次情報

  • https://gitee.com/openharmony/security/blob/master/en/security-disclosure/2023/2023-01.md

usememosにクロスサイトスクリプティングの脆弱性

OSSのセルフホスト型メモハブアプリであるusememosには、クロスサイトスクリプティングの脆弱性が存在します。アップロード機能に十分な検証機能が不足しているためのようです。

影響をうける対象

  • 0.10.0より前のバージョン

対処方法

  • 0.10.0またはそれ以上のバージョンへのアップデート

一次情報

  • https://github.com/usememos/memos/commit/46c13a4b7f675b92d297df6dabb4441f13c7cd9c
  • https://huntr.dev/bounties/ec2a29dc-79a3-44bd-a58b-15f676934af6/
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0112

Visual Studio Codeの拡張機能には注意しようねという話。

VisualStudioCodeにはコミュニティの拡張機能をインストールして使うことができます。

大変便利ではあるものの、サプライチェーン攻撃を目的として狙われていることに注意しましょう。

Chromeの拡張機能でも同様の注意喚起はよくされているけど、VSCodeの場合は特に開発者がターゲットだから攻撃受けちゃうと金銭的にもダメージが大きい。

インストール数や星の数を除くと識別特性に制約がないとのことなので注意してね。

記事によると、作者に付与される検証バッジは、チェックマークが拡張機能発行者がドメインの実際の所有者であることを証明するだけなので、些細なことで回避できることも調査により判明している。とのこと。

すぐ試していれてみる人って多い印象だから仕事のPCでは特に気をつけてね。

一次情報

  • https://thehackernews.com/2023/01/hackers-distributing-malicious-visual.html