2012年に気になった脆弱性をまとめてみる

2013年あけましておめでとうございます（遅い...）。今年も思い立ったときにブログ記事を投稿していきたいと思います。
2012年も変わらず脆弱性情報を読んでいたこともあり、2012年に気になった脆弱性をまとめてみます。2011年も同じような日記を書きましたが、リンク集に近いものだったため、今回は気になった点のコメントを添えました。そうしないと書いた本人も忘れるので...

はじめに

対象とする脆弱性

この日記で取り上げる脆弱性は、「2012年に修正、または発見、報告（記事化も含む）されたもの」です。自分のつぶやきを基に選んだので、2012年の脆弱性を網羅していません。

脆弱性の分類

今回の日記では、脆弱性を次のように分類して表にまとめました。

ソフトウェア
- 定例パッチ関連：Microsoft
- 定例パッチ関連：Adobe Systems
- 定例パッチ関連：Oracle
組み込みシステム
- スマートデバイス（スマートフォン、タブレット）
- スマートデバイス向けアプリ
Webアプリケーション

表の構成

各表は次の列を基本に構成しています。表ごとの独自の列については、その節で改めて書きます。

[ソフトウェア名] 列
- 脆弱性が存在するソフトウェアなどを指します。表によって、列名が少しずつ変わります。
[月] 列
- その脆弱性が修正、または発見、報告（記事化も含む）された月を指します。
[CVE番号] 列
- その脆弱性のCVE番号を指します。CVEで検索して見つからなかった場合は「CVE番号なし」としました。
[関連情報] 列
- その脆弱性に関連するインターネット上の情報を指します。

以上をふまえて、2012年における脆弱性の振り返りの参考にしていただければと思います。

ソフトウェア

2012年のソフトウェアに関する気になった脆弱性を下表にまとめました。定例パッチを提供している Microsoft, Adobe Systems, Oracle のソフトウェアについては、別の表にまとめました。
この分類においては、その脆弱性が悪用されているか否かにも注目して、表に [脆弱性の悪用] 列を加えました。

「○」：脆弱性の悪用（攻撃）が確認されている。
- 脆弱性の悪用から発覚したものについては「○0day」とした
「-」：脆弱性の悪用が確認されていない。

ソフトウェア名	月	CVE番号	脆弱性の悪用	関連情報
Linux kernel	1月	CVE-2012-0056	○	ブログ「Nerdling Sapple」
sudo	1月	CVE-2012-0809	-	Sudo公式
Samba	4月	CVE-2012-1182	-	Samba公式
PHP	5月	CVE-2012-1823	○	ブログ「徳丸浩の日記」
BIND	6月	CVE-2012-1667	-	Internet Systems Consortium
	7月	CVE-2012-3817	-	Internet Systems Consortium
	7月	CVE-2012-3868	-	Internet Systems Consortium
	9月	CVE-2012-4244	-	Internet Systems Consortium
	10月	CVE-2012-5166	-	Internet Systems Consortium
	12月	CVE-2012-5688	-	Internet Systems Consortium
Mysql	5月	CVE-2012-2122	-	IIJ-SECT
	12月	CVE-2012-5611他	-	SANS, exploit-db
phpMyAdmin	9月	CVE-2012-5159	○	SourceForge
Safari	10月	CVE-2012-3713	-	JVN, mala氏ブログ記事

それぞれの脆弱性で気になった点を下記に記述します。

Linux kernel: CVE-2012-0056
- Android も影響を受ける権限昇格につながる脆弱性
sudo: CVE-2012-0809
- 最近ではあまり聞かない format string bug（書式文字列の問題）
Samba: CVE-2012-1182
- Samba を搭載している NAS などが影響を受ける脆弱性
- 実際に影響を受ける NAS はあったようですね（BUFFALO LinkStationシリーズ）
PHP: CVE-2012-1823
- 実際に悪用が確認された PHP の脆弱性
BIND: 6件の脆弱性
- 個々の脆弱性というよりは、報告された件数
Mysql: CVE-2012-2122
- 脆弱性そのもの
- IIJ-SECT の解説記事は丁寧でした:)
Mysql: CVE-2012-5611他
- 実証コードと共に複数の脆弱性の公表
phpMyAdmin: CVE-2012-5159
- バックドアを混入した phpMyAdmin の配布に割り当てられた CVE 番号
Safari: CVE-2012-3713
- JVN における「Windows 版 Safari のユーザは使用を停止してください」

定例パッチ関連：Microsoft

毎月定例パッチを提供している Microsoft のソフトウェアのうち、気になった脆弱性を下表にまとめました。

月	ソフトウェア名	MS番号	CVE番号	脆弱性の悪用	関連情報
1月	Windows Media Player	MS12-004	CVE-2012-0003	○	ISS
1月	Windows Packager	MS12-005	CVE-2012-0013	-	Exploit Shop,NTTデータ先端技術
3月	リモートデスクトップ	MS12-020	CVE-2012-0002	-	IIJ-SECT
4月	Windows コモンコントロール	MS12-027	CVE-2012-0158	○	-
6月	Internet Explorer	MS12-037	CVE-2012-1875	○	IBM東京SOC
7月	VBA	MS12-046	CVE-2012-1854	○	Symantec
7月	Windowsシェル	MS12-048	CVE-2012-0175	-	IBM
9月	Internet Explorer	MS12-063	CVE-2012-4969	○0day	ZATAZ.com
12月	Internet Explorer	MS番号なし	CVE-2012-4792	○0day	Fireeye

それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものには「脆弱性が悪用されたこと」のみ気になったものがあります。それらの脆弱性についてのコメントはありません。

Windows Packager: MS12-005, CVE-2012-0013
- Exploitコードが成功する可能性が高い
リモートデスクトップ: MS12-020, CVE-2012-0002
- インターネットを介した攻撃対象が多いとの意見
- Microsoft からの実証コード漏えいの疑い
VBA: MS12-046, CVE-2012-1854
- DLL Hijacking による攻撃事例の一つ
Windowsシェル: MS12-048, CVE-2012-0175
- 発見者による発見の経緯解説

定例パッチ関連：Adobe Systems

定期的にパッチを提供している Adobe Systems のソフトウェアのうち、気になった脆弱性を下表にまとめました。

月	ソフトウェア名	Adobe番号	CVE番号	脆弱性の悪用	関連情報
2月	Adobe Flash Player	APSB12-03	CVE-2012-0767	○	-
2月	Adobe Flash Player	APSB12-03	CVE-2012-0753	○	contagio
5月	Adobe Flash Player	APSB12-09	CVE-2012-0779	○	-
5月	Adobe Illustrator	APSB12-10	CVE番号複数	-	Adobe
5月	Adobe Photoshop	APSB12-11	CVE番号複数	-	Adobe
5月	Adobe Flash Professional	APSB12-12	CVE-2012-0778	-	Adobe
12月	Adobe Shockwave Player	-	CVE-2012-6270	-	JVNVU
12月	Adobe Shockwave Player	-	CVE-2012-6271	-	JVNVU
12月	Adobe Shockwave Player	-	CVE番号なし	-	JVNVU

それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものについては前述 Microsoft の場合と同様です。

Adobe Illustrator: APSB12-10
Adobe Photoshop: APSB12-11
Adobe Flash Professional: APSB12-12
- Security Bulletin 公開当初、解決策としてバージョンアップが提示されていた。
- だが、最終的に修正パッチを提供することとなった（ITmedia関連記事）
Adobe Shockwave Player: CVE-2012-6270, CVE-2012-6271, CVE番号なし
- 「旧バージョンの Shockwave ランタイムなどが同梱されている」という珍しい脆弱性

2012 年の Adobe Flash Player における脆弱性情報が「ERIC ROMANG BLOG」でまとめられていました。修正された脆弱性 68 件のうち 44 件（64,7%）が Google による報告なんですね。そういえば、APSB12-16 では、fuzzing によって発見された脆弱性が 12 件修正された話題もありました。

定例パッチ関連：Oracle

定期的にパッチを提供している Oracle のソフトウェアのうち、気になった脆弱性を下表にまとめました。

月	ソフトウェア名	Oracle CPU	CVE番号	脆弱性の悪用	関連情報
2月	Java関連	2012年2月	CVE-2012-0500	○	この日記
2月	Java関連	2012年2月	CVE-2012-0507	○	Microsoft
4月	Oracle Database Server	SecurityAlert	CVE-2012-1675	-	ITmedia
6月	Java関連	2012年6月	CVE-2012-1723	○	NTTデータ先端技術
7月	Oracle Outside In	2012年7月	CVE番号多数	-	JVNVU
8月	Java関連	SecurityAlert	CVE-2012-4681	○0day	Fireeye,SE-2012-01
10月	Java関連	2012年10月	CVE-2012-5076	○	NTTデータ先端技術

それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものについては前述 Microsoft の場合と同様です。Adobe Flash Player 同様、2012 年の Java 関連の脆弱性情報が「ERIC ROMANG BLOG」でまとめられていました。

Oracle Database Server: CVE-2012-1675
- 発見者が修正されたと思い、脆弱性情報を公開
Oracle Outside In: CVE番号多数
- 多数の製品ベンダのソフトウェアに影響があった

組み込みシステム

2012年の組み込みシステムに関する気になった脆弱性を下表にまとめました。スマートデバイス（スマートフォンやタブレット）、スマートデバイス向けアプリについては、別の表にまとめています。

製品種別	メーカ／型番	月	CVE番号	関連情報
IPカメラ	Trendnet社／TV-IP110W	1月	CVE番号なし	consolecowboys
	複数ベンダ	10月	CVE-2012-3002	JVNVU
ルータ	TP-Link社／8840T	4月	CVE番号なし	JVNVU
	Netgear社／FVS318N	4月	CVE番号なし	JVNVU
	Logitec社／LAN-W300N/Rシリーズ	5月	CVE-2012-1250	JVNVU
	Alpha Networks社／ASL-26552	8月	CVE番号なし	OSVDB
	D-Link社／DSL2730U	12月	CVE-2012-5966	JVNVU
	Huawei社／E585 Pocket WiFi 2	12月	CVE-2012-5968他	JVNVU
テレビ	Samsung社／D6000	4月	CVE-2012-4329	exploit-db
	Samsung社／型番不明	12月	CVE番号なし	TheHackerNews
ネットワーク機器	F5 Networks社／BIG-IP	6月	CVE-2012-1493	Matta Consulting
コーヒーメーカー	JURA Elektroapparate AG社／IMPRESSA F90	9月	CVE-2008-7173	はてぶ
無線LAN チップセット	Broadcom社／BCM4325・BCM4329	10月	CVE-2012-2619	Core Security
プリンタ	Samsung社／型番不明	11月	CVE-2012-4964	JVNVU
カード式ロック	Onity社／型番不明	7月	CVE番号なし	eWEEK,WIRED

組み込みシステムについては、表に[製品種別] 列を加えました。製品種別ごとに気になった点を下記に記述します。まとめてみると、システムの設計に起因する脆弱性が多い印象があります。

IPカメラ
- 認証なくカメラの映像を視聴できてしまう（特定の URL にアクセスするだけ）
- 認証回避の脆弱性
ルータ
- 初期設定でインターネット側に管理インターフェイスが公開されている
  - 実際にこれらの脆弱性の悪用が確認されている（ブラジルの事例、日本の事例）
- 特定の URL にアクセスすると、認証情報などを取得できてしまう
テレビ
- 再起動を繰り返す状態に陥る
- テレビに接続したストレージに保存されたデータを外部から取得できてしまう
ネットワーク機器
- SSH 秘密鍵を適切に管理していない脆弱性
コーヒーメーカー
- 脆弱性云々ではなく、100 を超えるはてぶ数
無線LANチップセット
- 無線LAN（802.11）NIC から応答がなくなってしまう
- iPhone, iPad, Galaxy S などのスマートフォンが影響を受けた
プリンタ
- SNMP コミュニティ文字列がハードコーディングされている
カード式ロック
- 2012 年 8 月に BlackHat USA で公開された手法が実際に悪用された

スマートデバイス（スマートフォン、タブレット）

スマートデバイス上で動作する OS 等の脆弱性のうち、気になった脆弱性を下表にまとめました。これらの脆弱性の影響範囲は、OS そのものや特定の製造メーカのデバイスのみであったりと影響範囲が異なるため、[影響範囲] 列を加えました。

OS	影響範囲	月	CVE番号	関連情報
Android	HTC製Androidデバイス	2月	CVE-2011-4872	JVNVU
	HTC製Androidデバイス	4月	CVE-2012-2217	VSR
	ZTE製Androidデバイス	5月	CVE-2012-2949	pastebin
	Android SQLiteエンジン	5月	CVE-2011-3901	IBM
	Android init	6月	CVE番号なし	ブログ「8796.jp管理日誌」
	Samsung製およびHTC製Androidデバイス	8月	CVE-2012-2980	JVNVU
	Samsung製Androidデバイス	9月	CVE番号なし	SLASHGEAR
	NTTDocomo,KDDI,Softbank販売Androidデバイス	11月	CVE番号なし	JVN,FFRI
	Exynos 4210, 4412搭載Androidデバイス	12月	CVE-2012-6422	TheHackerNews
iOS	Safari on iOS 5.1	5月	CVE-2012-0674	MajorSecurity
	Safari on iOS 5.1.1	5月	CVE番号なし	exploit-db
	Telephony on iOS 6未満	8月	CVE-2012-3744	pod2g's iOS blog
WindowsPhone	Windows Phone 7	9月	CVE-2012-2993	JVNVU

それぞれの脆弱性で気になった点を下記に記述します。

HTC製Androidデバイス: CVE-2011-4872
- android.permission.ACCESS_WIFI_STATE における脆弱性だが、HTC 製 Android デバイスのみ影響を受ける
HTC製Androidデバイス: CVE-2012-2217
- HTC 製 Android デバイスにおける Carrier IQ の問題
ZTE製Androidデバイス: CVE-2012-2949
- 「sync_agent ztex1609523」を実行すると root 権限に昇格
Android SQLiteエンジン: CVE-2011-3901
- SQLiteエンジンが生成する journal ファイルにおけるファイルパーミッションの不備
Android init: CVE番号なし
- init のディレクトリ作成時のファイルパーミッション設定の不備
- rooted につながる
Samsung製およびHTC製Androidデバイス: CVE-2012-2980
- 「dmesg」コマンドからの機密性の高い情報の漏えいにつながる
Samsung製Androidデバイス: CVE番号なし
- tel スキームを介して Secret Code（厳密には USSD と呼ばないらしい）を実行できてしまう
- 日本国内で販売されている Android デバイスでも影響を受けるものがあったようだ
NTTDocomo,KDDI,Softbank販売Androidデバイス: CVE番号なし
- 23 機種の Android デバイスに影響があった
Exynos 4210, 4412搭載Androidデバイス: CVE-2012-6422
- /dev/exynos-mem を介してメモリ空間の読み書きが可能
- rooted につながる
Safari on iOS 5.1: CVE-2012-0674
- Safari のアドレスバー表示を偽装できる
Safari on iOS 5.1.1: CVE番号なし
- JavaScript の match() および search() におけるクラッシュ
Telephony on iOS 6未満: CVE-2012-3744
- UDH（User Data Header）の返信先を変更することでなりすましできる
WindowsPhone: CVE-2012-2993
- Windows Phone における脆弱性

スマートデバイス向けアプリ

スマートデバイス向けアプリの脆弱性のうち、JVN や AppSec 以外で報告された脆弱性を下表にまとめました。2012 年は JVN や AppSec にて Android アプリの脆弱性が公表されたので、すべてまとめるのは厳しい（ｘ

- JVN 2012年公開（「Android」をキーワードに検索）
- AppSec

まとめてみると、スマートデバイス向けアプリの脆弱性には CVE 番号が割り当てられていないことが多いです。

OS	アプリ名	月	CVE番号	関連情報
Android	K-9 Mail	2月	CVE番号なし	TrustGo
	Facebook Android SDK	4月	CVE番号なし	Parse blog
	spモードメール	4月	CVE-2012-1244	JVN
	Nessus app for android	7月	CVE番号なし	Full Disclosure
iOS	iOS向けFacebookアプリ	4月	CVE番号なし	garethwright.com
	TreasonSMS	4月	CVE番号なし	threadpost
	iOS向けFacebookアプリ	8月	CVE番号なし	ブログ「My IT projects」
	GoodReader	8月	CVE-2012-2648	JVN
	iOS向けDropboxアプリ、iOS向けGoogle Driveアプリ	10月	CVE番号なし	IBM
	Facebook Cameraアプリ	12月	CVE番号なし	TechCrunch

Android アプリの脆弱性については、下記のようなものがありました。JVN で公開された脆弱性については JSSEC の資料で解説されています。WebView に関する脆弱性については、Androidセキュリティ勉強会の @goroh_kun さんの資料、CodeZine 連載記事がとても参考になります。

機密性の高い情報の取扱い不備
- ログ
- 暗黙的 Intent
- SD カード
アクセス制限の不備
- Activity
- Content Provider
SSL サーバ証明書の検証不備
WebView に関する脆弱性

iOS アプリに関しては、上表のもの以外には NSLog の話題が印象に残っています。

Webアプリケーション

2012年の Web アプリケーションに関する気になった脆弱性を下表にまとめました。Web アプリの脆弱性には CVE 番号が割り当てられないため、[CVE 番号] 列を削除しました。

月	Web アプリ	脆弱性の悪用	関連情報
4月	Hotmail	○	threatpost,TheHackerNews
5月	Yahoo! Mail	-	TrendLabs
8月	Amazon	○	Ars Technica,WIRED
11月	Skype	○	ITmedia,Reddit
12月	Tumbler	○	ITmedia,twitterセキュリティネタまとめ

それぞれの脆弱性で気になった点を下記に記述します。

Hotmail
- パスワードリセット機能における脆弱性
Yahoo! Mail
- DOM based Cross Site Scripting(XSS)
Amazon
- パスワード再発行等の手続きにおける問題
- Mat Honan 氏の iCloud 乗っ取り事件
Skype
- パスワードリセット機能における脆弱性
Tumbler
- XSS を介した CSRF

その他

その他に下記のようなことがありました。分類に悩んだので、箇条書きでメモしておきます。

終わりに

気になった点のコメントを添えてみたら、大分時間がかかってしまいました。だけど、2011年の脆弱性まとめ記事よりはよいものになったかなぁ。

それでは、2013 年もよろしくお願いします:)