【テックラジオ】巷のセキュリティ 2023年01月11日

テックラジオ
テックラジオ
【テックラジオ】巷のセキュリティ 2023年01月11日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • Adobe AcrobatおよびReaderに脆弱性
  • AMD製プロセッサーに複数の脆弱性
  • チューリッヒ保険会社 の個人情報が流出

おまけ

  • Auth0が公式で開発しているJsonWebTokenの件が盛り上がってるね

Adobe AcrobatおよびReaderに脆弱性

Adobe Acrobat および Acrobat Readerにはアプリケーションのサービス停止、任意のコードの実行、権限昇格、メモリリークなどの脆弱性が存在します。悪用は確認されていないとのことですがアップデートしておきましょう。

影響をうける対象

  • Acrobat DC
  • Acrobat Reader DC
  • Acrobat 2020
  • Acrobat Reader 2020

対処方法

  • 最新バージョンへのアップデート

一次情報

  • https://www.ipa.go.jp/security/ciadr/vul/20230111-adobereader.html

AMD製プロセッサーに複数の脆弱性

Ryzen™等のAMD製のプロセッサーには、任意のコード実行など複数の脆弱性が存在します。これらの脆弱性は外部からの報告と自社内監査で発見したとのことです。

新しいバージョンの「AGESA(AMD CPUのファームウェア)」は、マザーボードベンダーからBIOSのアップデートとして提供されます。

影響をうける対象

  • AMD Athlon™プロセッサー
  • Ryzen™プロセッサー
  • Threadripper™プロセッサーに関連するAGESA™
  • AMD Secure Processor(ASP)
  • AMD System Management Unit(SMU)

対処方法

  • BIOSのアップデート

一次情報

  • https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1031

チューリッヒ保険会社 の個人情報が流出

チューリッヒ保険会社の顧客情報が流出しました。外部委託業者から漏れたみたいですね。チューリッヒ本体に不正アクセスがあったわけではないようですが、契約したことがある人は確認しておきましょう。

影響をうける対象

  • チューリッヒの「スーパー自動車保険」に過去にした顧客と現在ご加入中の顧客のうち最大で757,463人

一次情報

  • https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

Auth0が公式で開発しているJsonWebTokenの件が盛り上がってるね

盛り上がっているね。比較的読まれているのがITMediaの記事だと思うけど、

ここではAuth0製のライブラリ(JsonWebToken)にRCEの脆弱性があったよと言及されているんだよね。

最近TwitterではRCEの脆弱性がでると大盛り上がりなので、今回も盛況のご様子。

でも、もともとAuth0は12月の段階でリリースを出していたんだよね。

何で盛り上がっているかというと、めちゃくちゃ簡単にいうと。

Palo Alto Networksが「Auth0のライブラリにRCE脆弱性じゃいおら!CVE!RCE!」って挙がってたものの、「いやこれは脆弱性じゃないやんけおら!」という人たちが出てきた。
っていう理解。
悪意のあるtoString関数を持つオブジェクトが渡されることに基づいているらしいけど、
いやいやそもそも悪意のあるtoString関数が存在すること自体に無理があるでしょ。ライブラリ自体の脆弱性なんそれ?ってことらしい。
ここでは、冗談だろ?なんていわれとります。
別のところではAuth0やGithubが脆弱性報告に対してちゃんと検証していないって言われていますね。
CVEが取り消される可能性もありそうだね。
今後に注目だね。