JPCERT コーディネーションセンター

Weekly Report 2022-12-28号

JPCERT-WR-2022-5101
JPCERT/CC
2022-12-28

<<< JPCERT/CC WEEKLY REPORT 2022-12-28 >>>

■12/18(日)〜12/24(土) のセキュリティ関連情報

目 次

【1】Mozilla Thunderbirdにコード実行の脆弱性

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」にUnicode制御文字の扱いに関する脆弱性

【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性

【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性

【今週のひとくちメモ】JPCERT/CCが「2022年10月から12月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr225101.txt
https://www.jpcert.or.jp/wr/2022/wr225101.xml

【1】Mozilla Thunderbirdにコード実行の脆弱性

情報源

Mozilla
Security Vulnerabilities fixed in Thunderbird 102.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/

概要

Mozilla Thunderbirdでは、名前の長いファイルをドラッグ&ドロップした場
合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 102.6.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96679793
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96679793/

概要

Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
あります。

対象となる製品は次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月30日)
https://success.trendmicro.com/jp/solution/000291841

【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」にUnicode制御文字の扱いに関する脆弱性

情報源

Japan Vulnerability Notes JVN#43561812
スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性
https://jvn.jp/jp/JVN43561812/

概要

スマートフォンアプリ「+メッセージ(プラスメッセージ)」にはUnicode制
御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
があります。

対象となるバージョンは次のとおりです。

ソフトバンク株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」12.9.5より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン

株式会社NTTドコモ
- Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン

KDDI株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」3.9.2より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

ソフトバンク株式会社
+メッセージ(プラスメッセージ)
https://www.softbank.jp/mobile/service/plus-message/

株式会社NTTドコモ
+メッセージ(プラスメッセージ)
https://www.docomo.ne.jp/service/plus_message/

KDDI株式会社
お知らせ:+メッセージ(プラスメッセージ)
https://www.au.com/mobile/service/plus-message/information/

【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#06093462
Zenphoto におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06093462/

概要

Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zenphoto 1.6より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Zenphoto
GitHub - zenphoto / zenphoto
https://github.com/zenphoto/zenphoto

Zenphoto
ZenphotoCMS - The simpler media website CMS
https://www.zenphoto.org/

【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

情報源

Japan Vulnerability Notes JVN#13075438
コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN13075438/

概要

コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
して、当該サービスの権限で不正なファイルが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Roxio Creator LJB バージョン : 12.2、ビルド : 106B62B
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B63A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B69A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B71A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B74A

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
が提供する情報を参照してください。

関連文書 (日本語)

Corel Corporation
Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
https://kb.corel.com/jp/129393

富士通株式会社
コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
https://www.fmworld.net/biz/common/corel/20221110.html

【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#29902403
Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN29902403/

概要

Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
ストーラーを実行している権限で任意のコードが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー

この問題は、developブランチの最新のソースコードから作成されたSquirrel.
Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
供する情報を参照してください。

関連文書 (英語)

Squirrel
Better delay load urlmon and move official build to GH Actions #1807
https://github.com/Squirrel/Squirrel.Windows/pull/1807

■今週のひとくちメモ

○JPCERT/CCが「2022年10月から12月を振り返って」を公開

2022年12月22日、JPCERT/CCは「2022年10月から12月を振り返って」を公開し
ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
などをまとめています。JPCERT/CCでは、日頃より脆弱性情報や脅威情報などに
関する情報発信を行っておりますので、適時ご確認ください。

参考文献 (日本語)

JPCERT/CC CyberNewsFlash
2022年10月から12月を振り返って
https://www.jpcert.or.jp/newsflash/2022122201.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter