-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-0201
                                                                   JPCERT/CC
                                                                  2022-01-13

            <<< JPCERT/CC WEEKLY REPORT 2022-01-13 >>>

――――――――――――――――――――――――――――――――――――――
■01/02(日)〜01/08(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chromeに複数の脆弱性
【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性
【3】WordPressに複数の脆弱性
【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性
【今週のひとくちメモ】JASAが「2022年 情報セキュリティ十大トレンド」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr220201.html
        https://www.jpcert.or.jp/wr/2022/wr220201.xml
============================================================================


【1】Google Chromeに複数の脆弱性

    情報源
      CISA Current Activity
      Google Releases Security Updates for Chrome
      https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/google-releases-security-updates-chrome

    概要
      Google Chromeには、複数の脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 97.0.4692.71より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html

【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性

    情報源
      CISA Current Activity
      VMware Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/vmware-releases-security-updates

    概要
      複数のVMware製品には、ヒープベースのバッファーオーバーフローの脆弱性が
      あります。結果として、CD-ROMデバイスエミュレーションを使用して仮想マシン
      にアクセスできる第三者が、仮想マシンからハイパーバイザーでコードを実行
      する可能性があります。

      対象となる製品及びバージョンは次のとおりです。

      - ESXi バージョン7.0、6.7、6.5
      - Workstation バージョン16系
      - Fusion バージョン12系
      - VMware Cloud Foundation (ESXi) バージョン4系、3系

      この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、VMwareが提供する情報を参照してください。

    関連文書 (英語)
      VMware
      VMSA-2022-0001
      https://www.vmware.com/security/advisories/VMSA-2022-0001.html

【3】WordPressに複数の脆弱性

    情報源
      CISA Current Activity
      WordPress Releases Security Update
      https://www.cisa.gov/uscert/ncas/current-activity/2022/01/07/wordpress-releases-security-update

    概要
      WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が機微
      な情報を窃取するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - WordPress 3.7から5.8まで

      この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
      新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
      さい。

    関連文書 (日本語)
      WordPress
      WordPress 5.8.3 セキュリティリリース
      https://ja.wordpress.org/2022/01/07/wordpress-5-8-3-security-release/

【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#91728245
      オムロン製CX-Oneにおけるスタックベースのバッファオーバーフローの脆弱性
      https://jvn.jp/vu/JVNVU91728245/

    概要
      オムロン株式会社が提供するCX-Oneには、スタックベースのバッファーオーバー
      フローの脆弱性があります。結果として、第三者が任意のコードを実行する可
      能性があります。

      対象となるバージョンは次のとおりです。

      - CX-One バージョン 4.60及びそれ以前

      この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
      に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
      照してください。

    関連文書 (日本語)
      オムロン株式会社
      CX-Oneバージョンアッププログラムダウンロード (CX-Oneオートアップデート(V4向け_2022年1月))
      https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JASAが「2022年 情報セキュリティ十大トレンド」を公開

      2022年1月6日、日本セキュリティ監査協会（JASA）は、「情報セキュリティ監
      査人が選ぶ2022年の情報セキュリティ十大トレンド」を公開しました。
      このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により
      認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた
      ものです。
      2022年のトレンドは、人々の働き方や利用するシステムの環境の大きな変化に
      伴いリスクそのものが変化してきていることに対し、従来のままのセキュリティ
      対策では十分でないことを示唆するトピックが多く出てきている結果となって
      います。

    参考文献 (日本語)
      日本セキュリティ監査協会 (JASA)
      監査人の警鐘- 2022年 情報セキュリティ十大トレンド
      https://www.jasa.jp/seminar/sec_trend2022/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJh32rOAAoJEKntH+qu5CT/jH4QAJmqmGPbYxkavREblPnut8Cp
TZmYuI6cSyrxSNwzegmUPBg7IWOfvy29s7uOBsBlw80OdVRwMy9LeVAEQGDjAByC
qS7E4CYnvEGcxheKgYurBuUYEu267ChF+bSbkO+1FXVEKT3ucXJLpQetPPsp5TO7
N0fELaMioplaDIOL6PEmaLtYkcp73r5Gj8A6VCfTjU5KJlHQkN5MD5tArU2i5Rhg
uQTvHcrlo20dvHwoq7xHdDYLs5v0UT6YZNZc3GE311Sl3Gs2oXROsantCPG7Jc78
xsk+s6fo1u/NlmIx22Skgbeix8RVdorIsDt5PO9MEhTAlz/pP6P86GODEEA4tP+7
qL/WOkea0nxRQm2r7QaQjcCU8C6AG5FfS3GAdSd28hOWqWCZdIkLsvmz74fABkEi
CweyQfPZgUmeGlkI08ZKUTEg1ilgtFdaspZaK/Dw9IYPfdB6ODjvnlmEQmhmKqHg
B0JBujjaXszvL0ZwoytPP+xg7p8/0lmXfxj1NkHvmn/tMNXBBNqRagVJ42lkY8MK
KZ6qwCEm5HzYPbTVlSCLVhSGEcl0OzcpSNObjebiWHmc016c0pX46KbRMr1G9GVY
OkBnWL6qgMyWDPdL6rqAIV4E3ZqJaZxhS+waC056/c25Gf8jIlSc1uSERud2Kg7Q
aA3XZyDMOR3SoACma85Z
=a9tG
-----END PGP SIGNATURE-----