2012年に気になった脆弱性をまとめてみる
2013年あけましておめでとうございます(遅い...)。今年も思い立ったときにブログ記事を投稿していきたいと思います。
2012年も変わらず脆弱性情報を読んでいたこともあり、2012年に気になった脆弱性をまとめてみます。2011年も同じような日記を書きましたが、リンク集に近いものだったため、今回は気になった点のコメントを添えました。そうしないと書いた本人も忘れるので...
ソフトウェア
2012年のソフトウェアに関する気になった脆弱性を下表にまとめました。定例パッチを提供している Microsoft, Adobe Systems, Oracle のソフトウェアについては、別の表にまとめました。
この分類においては、その脆弱性が悪用されているか否かにも注目して、表に [脆弱性の悪用] 列を加えました。
ソフトウェア名 | 月 | CVE番号 | 脆弱性の悪用 | 関連情報 |
---|---|---|---|---|
Linux kernel | 1月 | CVE-2012-0056 | ○ | ブログ「Nerdling Sapple」 |
sudo | 1月 | CVE-2012-0809 | - | Sudo公式 |
Samba | 4月 | CVE-2012-1182 | - | Samba公式 |
PHP | 5月 | CVE-2012-1823 | ○ | ブログ「徳丸浩の日記」 |
BIND | 6月 | CVE-2012-1667 | - | Internet Systems Consortium |
7月 | CVE-2012-3817 | - | Internet Systems Consortium | |
7月 | CVE-2012-3868 | - | Internet Systems Consortium | |
9月 | CVE-2012-4244 | - | Internet Systems Consortium | |
10月 | CVE-2012-5166 | - | Internet Systems Consortium | |
12月 | CVE-2012-5688 | - | Internet Systems Consortium | |
Mysql | 5月 | CVE-2012-2122 | - | IIJ-SECT |
12月 | CVE-2012-5611他 | - | SANS, exploit-db | |
phpMyAdmin | 9月 | CVE-2012-5159 | ○ | SourceForge |
Safari | 10月 | CVE-2012-3713 | - | JVN, mala氏ブログ記事 |
それぞれの脆弱性で気になった点を下記に記述します。
- Linux kernel: CVE-2012-0056
- Android も影響を受ける権限昇格につながる脆弱性
- sudo: CVE-2012-0809
- 最近ではあまり聞かない format string bug(書式文字列の問題)
- Samba: CVE-2012-1182
- Samba を搭載している NAS などが影響を受ける脆弱性
- 実際に影響を受ける NAS はあったようですね(BUFFALO LinkStationシリーズ)
- PHP: CVE-2012-1823
- BIND: 6件の脆弱性
- 個々の脆弱性というよりは、報告された件数
- Mysql: CVE-2012-2122
- Mysql: CVE-2012-5611他
- 実証コードと共に複数の脆弱性の公表
- phpMyAdmin: CVE-2012-5159
- バックドアを混入した phpMyAdmin の配布に割り当てられた CVE 番号
- Safari: CVE-2012-3713
定例パッチ関連:Microsoft
毎月定例パッチを提供している Microsoft のソフトウェアのうち、気になった脆弱性を下表にまとめました。
月 | ソフトウェア名 | MS番号 | CVE番号 | 脆弱性の悪用 | 関連情報 |
---|---|---|---|---|---|
1月 | Windows Media Player | MS12-004 | CVE-2012-0003 | ○ | ISS |
1月 | Windows Packager | MS12-005 | CVE-2012-0013 | - | Exploit Shop,NTTデータ 先端技術 |
3月 | リモートデスクトップ | MS12-020 | CVE-2012-0002 | - | IIJ-SECT |
4月 | Windows コモン コントロール | MS12-027 | CVE-2012-0158 | ○ | - |
6月 | Internet Explorer | MS12-037 | CVE-2012-1875 | ○ | IBM東京SOC |
7月 | VBA | MS12-046 | CVE-2012-1854 | ○ | Symantec |
7月 | Windowsシェル | MS12-048 | CVE-2012-0175 | - | IBM |
9月 | Internet Explorer | MS12-063 | CVE-2012-4969 | ○0day | ZATAZ.com |
12月 | Internet Explorer | MS番号なし | CVE-2012-4792 | ○0day | Fireeye |
それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものには「脆弱性が悪用されたこと」のみ気になったものがあります。それらの脆弱性についてのコメントはありません。
定例パッチ関連:Adobe Systems
定期的にパッチを提供している Adobe Systems のソフトウェアのうち、気になった脆弱性を下表にまとめました。
月 | ソフトウェア名 | Adobe番号 | CVE番号 | 脆弱性の悪用 | 関連情報 |
---|---|---|---|---|---|
2月 | Adobe Flash Player | APSB12-03 | CVE-2012-0767 | ○ | - |
2月 | Adobe Flash Player | APSB12-03 | CVE-2012-0753 | ○ | contagio |
5月 | Adobe Flash Player | APSB12-09 | CVE-2012-0779 | ○ | - |
5月 | Adobe Illustrator | APSB12-10 | CVE番号複数 | - | Adobe |
5月 | Adobe Photoshop | APSB12-11 | CVE番号複数 | - | Adobe |
5月 | Adobe Flash Professional | APSB12-12 | CVE-2012-0778 | - | Adobe |
12月 | Adobe Shockwave Player | - | CVE-2012-6270 | - | JVNVU |
12月 | Adobe Shockwave Player | - | CVE-2012-6271 | - | JVNVU |
12月 | Adobe Shockwave Player | - | CVE番号なし | - | JVNVU |
それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものについては前述 Microsoft の場合と同様です。
- Adobe Illustrator: APSB12-10
- Adobe Photoshop: APSB12-11
- Adobe Flash Professional: APSB12-12
- Security Bulletin 公開当初、解決策としてバージョンアップが提示されていた。
- だが、最終的に修正パッチを提供することとなった(ITmedia関連記事)
- Adobe Shockwave Player: CVE-2012-6270, CVE-2012-6271, CVE番号なし
2012 年の Adobe Flash Player における脆弱性情報が「ERIC ROMANG BLOG」でまとめられていました。修正された脆弱性 68 件のうち 44 件(64,7%)が Google による報告なんですね。そういえば、APSB12-16 では、fuzzing によって発見された脆弱性が 12 件修正された話題もありました。
定例パッチ関連:Oracle
定期的にパッチを提供している Oracle のソフトウェアのうち、気になった脆弱性を下表にまとめました。
月 | ソフトウェア名 | Oracle CPU | CVE番号 | 脆弱性の悪用 | 関連情報 |
---|---|---|---|---|---|
2月 | Java関連 | 2012年2月 | CVE-2012-0500 | ○ | この日記 |
2月 | Java関連 | 2012年2月 | CVE-2012-0507 | ○ | Microsoft |
4月 | Oracle Database Server | SecurityAlert | CVE-2012-1675 | - | ITmedia |
6月 | Java関連 | 2012年6月 | CVE-2012-1723 | ○ | NTTデータ先端技術 |
7月 | Oracle Outside In | 2012年7月 | CVE番号多数 | - | JVNVU |
8月 | Java関連 | SecurityAlert | CVE-2012-4681 | ○0day | Fireeye,SE-2012-01 |
10月 | Java関連 | 2012年10月 | CVE-2012-5076 | ○ | NTTデータ 先端技術 |
それぞれの脆弱性で気になった点を下記に記述します。[脆弱性の悪用] 列が「○」のものについては前述 Microsoft の場合と同様です。Adobe Flash Player 同様、2012 年の Java 関連の脆弱性情報が「ERIC ROMANG BLOG」でまとめられていました。
組み込みシステム
2012年の組み込みシステムに関する気になった脆弱性を下表にまとめました。スマートデバイス(スマートフォンやタブレット)、スマートデバイス向けアプリについては、別の表にまとめています。
製品種別 | メーカ/型番 | 月 | CVE番号 | 関連情報 |
---|---|---|---|---|
IPカメラ | Trendnet社/TV-IP110W | 1月 | CVE番号なし | consolecowboys |
複数ベンダ | 10月 | CVE-2012-3002 | JVNVU | |
ルータ | TP-Link社/8840T | 4月 | CVE番号なし | JVNVU |
Netgear社/FVS318N | 4月 | CVE番号なし | JVNVU | |
Logitec社/LAN-W300N/Rシリーズ | 5月 | CVE-2012-1250 | JVNVU | |
Alpha Networks社/ASL-26552 | 8月 | CVE番号なし | OSVDB | |
D-Link社/DSL2730U | 12月 | CVE-2012-5966 | JVNVU | |
Huawei社/E585 Pocket WiFi 2 | 12月 | CVE-2012-5968他 | JVNVU | |
テレビ | Samsung社/D6000 | 4月 | CVE-2012-4329 | exploit-db |
Samsung社/型番不明 | 12月 | CVE番号なし | TheHackerNews | |
ネットワーク機器 | F5 Networks社/BIG-IP | 6月 | CVE-2012-1493 | Matta Consulting |
コーヒーメーカー | JURA Elektroapparate AG社/IMPRESSA F90 | 9月 | CVE-2008-7173 | はてぶ |
無線LANチップセット | Broadcom社/BCM4325・BCM4329 | 10月 | CVE-2012-2619 | Core Security |
プリンタ | Samsung社/型番不明 | 11月 | CVE-2012-4964 | JVNVU |
カード式ロック | Onity社/型番不明 | 7月 | CVE番号なし | eWEEK,WIRED |
組み込みシステムについては、表に[製品種別] 列を加えました。製品種別ごとに気になった点を下記に記述します。まとめてみると、システムの設計に起因する脆弱性が多い印象があります。
- IPカメラ
- 認証なくカメラの映像を視聴できてしまう(特定の URL にアクセスするだけ)
- 認証回避の脆弱性
- ルータ
- テレビ
- 再起動を繰り返す状態に陥る
- テレビに接続したストレージに保存されたデータを外部から取得できてしまう
- ネットワーク機器
- コーヒーメーカー
- 脆弱性云々ではなく、100 を超えるはてぶ数
- 無線LANチップセット
- プリンタ
- SNMP コミュニティ文字列がハードコーディングされている
- カード式ロック
- 2012 年 8 月に BlackHat USA で公開された手法が実際に悪用された
スマートデバイス(スマートフォン、タブレット)
スマートデバイス上で動作する OS 等の脆弱性のうち、気になった脆弱性を下表にまとめました。これらの脆弱性の影響範囲は、OS そのものや特定の製造メーカのデバイスのみであったりと影響範囲が異なるため、[影響範囲] 列を加えました。
OS | 影響範囲 | 月 | CVE番号 | 関連情報 |
---|---|---|---|---|
Android | HTC製Androidデバイス | 2月 | CVE-2011-4872 | JVNVU |
HTC製Androidデバイス | 4月 | CVE-2012-2217 | VSR | |
ZTE製Androidデバイス | 5月 | CVE-2012-2949 | pastebin | |
Android SQLiteエンジン | 5月 | CVE-2011-3901 | IBM | |
Android init | 6月 | CVE番号なし | ブログ「8796.jp管理日誌」 | |
Samsung製およびHTC製Androidデバイス | 8月 | CVE-2012-2980 | JVNVU | |
Samsung製Androidデバイス | 9月 | CVE番号なし | SLASHGEAR | |
NTTDocomo,KDDI,Softbank販売Androidデバイス | 11月 | CVE番号なし | JVN,FFRI | |
Exynos 4210, 4412搭載Androidデバイス | 12月 | CVE-2012-6422 | TheHackerNews | |
iOS | Safari on iOS 5.1 | 5月 | CVE-2012-0674 | MajorSecurity |
Safari on iOS 5.1.1 | 5月 | CVE番号なし | exploit-db | |
Telephony on iOS 6未満 | 8月 | CVE-2012-3744 | pod2g's iOS blog | |
WindowsPhone | Windows Phone 7 | 9月 | CVE-2012-2993 | JVNVU |
それぞれの脆弱性で気になった点を下記に記述します。
- HTC製Androidデバイス: CVE-2011-4872
- android.permission.ACCESS_WIFI_STATE における脆弱性だが、HTC 製 Android デバイスのみ影響を受ける
- HTC製Androidデバイス: CVE-2012-2217
- HTC 製 Android デバイスにおける Carrier IQ の問題
- ZTE製Androidデバイス: CVE-2012-2949
- 「sync_agent ztex1609523」を実行すると root 権限に昇格
- Android SQLiteエンジン: CVE-2011-3901
- Android init: CVE番号なし
- Samsung製およびHTC製Androidデバイス: CVE-2012-2980
- 「dmesg」コマンドからの機密性の高い情報の漏えいにつながる
- Samsung製Androidデバイス: CVE番号なし
- tel スキームを介して Secret Code(厳密には USSD と呼ばないらしい)を実行できてしまう
- 日本国内で販売されている Android デバイスでも影響を受けるものがあったようだ
- NTTDocomo,KDDI,Softbank販売Androidデバイス: CVE番号なし
- Exynos 4210, 4412搭載Androidデバイス: CVE-2012-6422
- /dev/exynos-mem を介してメモリ空間の読み書きが可能
- rooted につながる
- Safari on iOS 5.1: CVE-2012-0674
- Safari のアドレスバー表示を偽装できる
- Safari on iOS 5.1.1: CVE番号なし
- JavaScript の match() および search() におけるクラッシュ
- Telephony on iOS 6未満: CVE-2012-3744
- UDH(User Data Header)の返信先を変更することでなりすましできる
- WindowsPhone: CVE-2012-2993
スマートデバイス向けアプリ
スマートデバイス向けアプリの脆弱性のうち、JVN や AppSec 以外で報告された脆弱性を下表にまとめました。2012 年は JVN や AppSec にて Android アプリの脆弱性が公表されたので、すべてまとめるのは厳しい(x
-
- JVN 2012年公開(「Android」をキーワードに検索)
- AppSec
まとめてみると、スマートデバイス向けアプリの脆弱性には CVE 番号が割り当てられていないことが多いです。
OS | アプリ名 | 月 | CVE番号 | 関連情報 |
---|---|---|---|---|
Android | K-9 Mail | 2月 | CVE番号なし | TrustGo |
Facebook Android SDK | 4月 | CVE番号なし | Parse blog | |
spモードメール | 4月 | CVE-2012-1244 | JVN | |
Nessus app for android | 7月 | CVE番号なし | Full Disclosure | |
iOS | iOS向けFacebookアプリ | 4月 | CVE番号なし | garethwright.com |
TreasonSMS | 4月 | CVE番号なし | threadpost | |
iOS向けFacebookアプリ | 8月 | CVE番号なし | ブログ「My IT projects」 | |
GoodReader | 8月 | CVE-2012-2648 | JVN | |
iOS向けDropboxアプリ、iOS向けGoogle Driveアプリ | 10月 | CVE番号なし | IBM | |
Facebook Cameraアプリ | 12月 | CVE番号なし | TechCrunch |
Android アプリの脆弱性については、下記のようなものがありました。JVN で公開された脆弱性については JSSEC の資料で解説されています。WebView に関する脆弱性については、Androidセキュリティ勉強会の @goroh_kun さんの資料、CodeZine 連載記事がとても参考になります。
Webアプリケーション
2012年の Web アプリケーションに関する気になった脆弱性を下表にまとめました。Web アプリの脆弱性には CVE 番号が割り当てられないため、[CVE 番号] 列を削除しました。
月 | Web アプリ | 脆弱性の悪用 | 関連情報 |
---|---|---|---|
4月 | Hotmail | ○ | threatpost,TheHackerNews |
5月 | Yahoo! Mail | - | TrendLabs |
8月 | Amazon | ○ | Ars Technica,WIRED |
11月 | Skype | ○ | ITmedia,Reddit |
12月 | Tumbler | ○ | ITmedia,twitterセキュリティネタまとめ |
それぞれの脆弱性で気になった点を下記に記述します。
その他
その他に下記のようなことがありました。分類に悩んだので、箇条書きでメモしておきます。