2018年11月のセキュリティニュース

2018年11月14日
Apple装うフィッシング、「完全に凍結」「永久に禁止」と不安煽る

「Appleアカウントの異常な操作を検出したため、盗難などのリスクを防ぐため、アカウントを停止しています。時間内に確認し復元されない場合、凍結しますので再登録をしてください。」という文言で不安を煽り偽サイトへ誘導し情報をだまし取る、フィッシングメールが送信されています。

また正確な情報をだまし取ろうとしてか、入力時に3回のエラーが発生するとアカウントを永久に禁止するといった記載も見られます。

Appleを装うフィッシング攻撃は頻繁に発生しており、引き続き注意するよう呼びかけています。

2018年11月15日
11月のMS月例パッチ修正された脆弱性、中東のゼロデイ攻撃で悪用済み

マイクロソフトが11月の月例セキュリティ更新で修正した権限昇格の脆弱性「CVE-2018-8589」が、中東を標的とした攻撃で悪用されていたことがわかりました。

対象となるシステムにログオンする必要がありますが、細工したアプリケーションより悪用することで権限の昇格が発生、攻撃対象のシステム上で任意のコードを実行できるという。

マイクロソフトでは、同脆弱性について「Windows 7」「Windows Server 2008」に影響があるとし、深刻度を4段階中2番目にあたる「重要」とレーティングしました。至急、修正プログラムを適用しましょう。

2018年11月20日
「Apache Struts 2.3」系、2019年5月にサポート終了 – 移行の検討を

ウェブアプリケーションフレームワークである「Apache Struts」の開発チームは、「同2.3」系のサポートを今後6カ月で終了することを明らかにしました。

サポートを終了するまでの今後6カ月間、脆弱性などセキュリティに影響を与える問題が明らかとなった場合については修正するが、終了後はパッチの提供など含む一切のサポートが提供され無くなります。

またサポート期間中も互換性の関係で対応できないケースが生じる可能性もありますのでご注意ください。