Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210417 - 20210423)

f:id:y_saiki:20210315230255j:plain

20210417 ~ 20210423の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Cockpit CMS flaws exposed web servers to NoSQL injection exploits(コックピットCMSの欠陥により、WebサーバーがNoSQLインジェクションエクスプロイトにさらされた)

オープンソースのCMSであるCockpitCMSに脆弱性があることが報告され、Cockpit開発者によりそれらの脆弱性へのパッチが適用されたようです。
CockpitCMSはヘッドレスコンテンツ管理システムというもので、日本で主流のWordpressはコンテンツをWebページで配信しますがCockpitCMSはWebAPIでコンテンツを配信します。

www.moongift.jp

この脆弱性は認証されていない攻撃者が、Cockpitのユーザーアカウントの制御やパスワードリセットトークンの抽出など、さまざまな攻撃を実行する可能性があるそうです。

portswigger.net

2. WordPress may automatically disable Google FLoC on websites(WordPressはウェブサイトでGoogleFLoCを自動的に無効にする場合があります)

WordpressがGoogleの新しいFLoC追跡技術をセキュリティ上の懸念として、デフォルトで無効にするよう検討しているようです。

www.bleepingcomputer.com

3. Microsoft disables Google's FLoC tracking in Microsoft Edge, for now(Microsoftは今のところMicrosoftEdgeでGoogleのFLoC追跡を無効にしている)

www.bleepingcomputer.com

4. Attackers can hide 'external sender' email warnings with HTML and CSS(攻撃者は、HTMLとCSSを使用して「外部送信者」の電子メール警告を隠すことができます)

MicroSoftはFlocを無効にしたようです。 Floc結構問題視されていますね(汗

www.bleepingcomputer.com

5. Recent Chromium bug used to attack Chinese WeChat users(中国のWeChatユーザーを攻撃するために使用された最近のChromiumバグ)

攻撃者が「外部送信者」の警告を変更したり、電子メールから完全に削除したりすることができてしまうようです。

この操作を行うのに必要なのはHTMLとCSSのみであると述べています。

これができてしまう理由としてセキュリティソフトがメール本文自体にHTMLとCSSを差し込むことによって外部送信者警告を表示していることに由来し、 CSSコードを上書きすることで警告を隠せてしまうようです。

これはメールクライアントに依存しないため、どのクライアントでも攻撃可能であると述べています。

therecord.media

6. GraphQL APIs rev up innovation – but also introduce a potential security nightmare(GraphQL APIはイノベーションを促進しますが、潜在的なセキュリティの悪夢ももたらします)

www.lastwatchdog.com

7. Django Debug Toolbar tripped up by SQL injection flaw(DjangoデバッグツールバーがSQLインジェクションの欠陥によってトリップした)

PYthonのWebフレームワークDjangoのデバッグツールに脆弱性があり、SQLExplainのraw_sql入力フィールドを変更してSQLステートメントを実行できてしまうようです。

CVE - CVE-2021-30459

この脆弱性に対しての修正はされており、パッチを適用するには「1.11.1」「2.2.1」「3.2.1」へのバージョンアップが必要です。

portswigger.net

8. Mozilla Fixes Firefox Flaw That Allowed Spoofing of HTTPS Browser Padlock(Mozillaは、HTTPSブラウザの南京錠のなりすましを可能にするFirefoxの欠陥を修正しました)

Firefox88がリリースされ13個のバグが修正されたようです。

修正されたバグについてはこちらです。
Security Vulnerabilities fixed in Firefox 88 — Mozilla

threatpost.com

9. Google issues Chrome update patching seven security vulnerabilities(GoogleがChromeアップデートを発行して7つのセキュリティ脆弱性にパッチを当てる)

Chrome90.0.4430.85がリリースされました。

いくつかのセキュリティアップデートが入りました。

アップデート内容はこちらです。

Chrome Releases: Stable Channel Update for Desktop

www.zdnet.com

10. Progressive Web Apps and Cookies: Taking a Bite Out of Security(プログレッシブウェブアプリとCookie:セキュリティを一口食べる)

プログレッシブWebアプリとはHTML、CSS、JavaScriptなどの一般的なWebテクノロジーを使用してネイティブアプリ同等の機能を実装できる技術です。

このプログレッシブWebアプリのセキュリティ的な問題とは「ブラウザセッションからアクティブにログアウトせず、代わりに使用しているプログレッシブWebアプリケーションを閉じるだけの場合、セッションは自動的に終了しません。」と述べられています。

ではどのように対策していくかというとsecureCookieを使用してHTTPS通信の時のみCookieを渡すようにブラウザに指示したりWebStorage使うのやめましょうなどと書かれています。

securityintelligence.com