JPCERT コーディネーションセンター

Weekly Report 2022-10-26号

JPCERT-WR-2022-4201
JPCERT/CC
2022-10-26

<<< JPCERT/CC WEEKLY REPORT 2022-10-26 >>>

■10/16(日)〜10/22(土) のセキュリティ関連情報

目 次

【1】複数のMozilla製品に脆弱性

【2】2022年10月Oracle Critical Patch Updateについて

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性

【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性

【今週のひとくちメモ】JPCERT/CCが2022年7月〜2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224201.txt
https://www.jpcert.or.jp/wr/2022/wr224201.xml

【1】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/20/mozilla-releases-security-updates-firefox

概要

複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害(DoS)攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 106より前のバージョン
- Firefox ESR 102.4より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2022-44
https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

Mozilla
Mozilla Foundation Security Advisory 2022-45
https://www.mozilla.org/en-US/security/advisories/mfsa2022-45/

【2】2022年10月Oracle Critical Patch Updateについて

情報源

CISA Current Activity
Oracle Releases October 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/19/oracle-releases-october-2022-critical-patch-update

概要

Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2022年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220029.html

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#97131578
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97131578/

概要

Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、第三者が権限昇格などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年10月)
https://success.trendmicro.com/jp/solution/000291648

【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#10921428
スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN10921428/

概要

ByteDance株式会社が提供するスマートフォンアプリ「Lemon8 (レモンエイト)」
には、アクセス制限不備の脆弱性が存在します。結果として、遠隔の第三者に
よって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性が
あります。

対象となるバージョンは次のとおりです。

- Android アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン
- iOS アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Google Play
Lemon8 (レモンエイト)
https://play.google.com/store/apps/details?id=com.bd.nproject

APP Store
Lemon8 (レモンエイト)
https://apps.apple.com/jp/app/lemon8-%E3%83%AC%E3%83%A2%E3%83%B3%E3%82%A8%E3%82%A4%E3%83%88/id1498607143

【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#56968681
日本語プログラミング言語「なでしこ3」における複数の脆弱性
https://jvn.jp/jp/JVN56968681/

概要

日本語プログラミング言語「なでしこ3」には、複数の脆弱性が存在します。
結果として、遠隔の第三者がOSコマンドインジェクションを実行するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- なでしこ3 PC版 v3.3.74 およびそれ以前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

kujirahand /nadesiko3
cnako3の圧縮解凍の問題 #1325
https://github.com/kujirahand/nadesiko3/issues/1325

kujirahand /nadesiko3
nako3editのファイルの扱いの問題 #1347
https://github.com/kujirahand/nadesiko3/issues/1347

■今週のひとくちメモ

○JPCERT/CCが2022年7月〜2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2022年10月20日、JPCERT/CCは2022年7月〜2022年9月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)

JPCERT/CC
JPCERT/CC 活動四半期レポート[2022年7月1日〜2022年9月30日]
https://www.jpcert.or.jp/pr/2022/PR_Report2022Q2.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート[2022年7月1日〜2022年9月30日]
https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter