<<< JPCERT/CC WEEKLY REPORT 2022-01-13 >>>
■01/02(日)〜01/08(土) のセキュリティ関連情報
目 次
【1】Google Chromeに複数の脆弱性
【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性
【3】WordPressに複数の脆弱性
【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性
【今週のひとくちメモ】JASAが「2022年 情報セキュリティ十大トレンド」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220201.txt
https://www.jpcert.or.jp/wr/2022/wr220201.xml
【1】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 97.0.4692.71より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html
【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/vmware-releases-security-updates
概要
複数のVMware製品には、ヒープベースのバッファーオーバーフローの脆弱性が あります。結果として、CD-ROMデバイスエミュレーションを使用して仮想マシン にアクセスできる第三者が、仮想マシンからハイパーバイザーでコードを実行 する可能性があります。 対象となる製品及びバージョンは次のとおりです。 - ESXi バージョン7.0、6.7、6.5 - Workstation バージョン16系 - Fusion バージョン12系 - VMware Cloud Foundation (ESXi) バージョン4系、3系 この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2022-0001
https://www.vmware.com/security/advisories/VMSA-2022-0001.html
【3】WordPressに複数の脆弱性
情報源
CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/07/wordpress-releases-security-update
概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が機微 な情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 3.7から5.8まで この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPressが提供する情報を参照してくだ さい。
関連文書 (日本語)
WordPress
WordPress 5.8.3 セキュリティリリース
https://ja.wordpress.org/2022/01/07/wordpress-5-8-3-security-release/
【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVNVU#91728245
オムロン製CX-Oneにおけるスタックベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91728245/
概要
オムロン株式会社が提供するCX-Oneには、スタックベースのバッファーオーバー フローの脆弱性があります。結果として、第三者が任意のコードを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - CX-One バージョン 4.60及びそれ以前 この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参 照してください。
関連文書 (日本語)
オムロン株式会社
CX-Oneバージョンアッププログラムダウンロード (CX-Oneオートアップデート(V4向け_2022年1月))
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module
■今週のひとくちメモ
○JASAが「2022年 情報セキュリティ十大トレンド」を公開
2022年1月6日、日本セキュリティ監査協会(JASA)は、「情報セキュリティ監 査人が選ぶ2022年の情報セキュリティ十大トレンド」を公開しました。 このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により 認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた ものです。 2022年のトレンドは、人々の働き方や利用するシステムの環境の大きな変化に 伴いリスクそのものが変化してきていることに対し、従来のままのセキュリティ 対策では十分でないことを示唆するトピックが多く出てきている結果となって います。
参考文献 (日本語)
日本セキュリティ監査協会 (JASA)
監査人の警鐘- 2022年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/sec_trend2022/
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/