-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-1501 JPCERT/CC 2022-04-13 <<< JPCERT/CC WEEKLY REPORT 2022-04-13 >>> ―――――――――――――――――――――――――――――――――――――― ■04/03(日)〜04/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のMozilla製品に脆弱性 【2】Google Chromeに脆弱性 【3】複数のCitrix製品に脆弱性 【4】複数のVMware製品に脆弱性 【5】トレンドマイクロ製ウイルスバスター for Macに権限昇格の脆弱性 【今週のひとくちメモ】IPAが「組織における内部不正防止ガイドライン」第5版を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr221501.html https://www.jpcert.or.jp/wr/2022/wr221501.xml ============================================================================ 【1】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/mozilla-releases-security-updates-firefox-firefox-esr-and 概要 複数のMozilla製品には、脆弱性があります。結果として、第三者が製品をク ラッシュさせるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 99より前のバージョン - Mozilla Firefox ESR 91.8より前のバージョン - Mozilla Thunderbird 91.8より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 99 https://www.mozilla.org/en-US/security/advisories/mfsa2022-13/ Mozilla Security Vulnerabilities fixed in Firefox ESR 91.8 https://www.mozilla.org/en-US/security/advisories/mfsa2022-14/ Mozilla Security Vulnerabilities fixed in Thunderbird 91.8 https://www.mozilla.org/en-US/security/advisories/mfsa2022-15/ 【2】Google Chromeに脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/google-releases-security-updates-chrome 概要 Google Chromeには、型の取り違えの脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 100.0.4896.75より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop.html 【3】複数のCitrix製品に脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates for Hypervisor https://www.cisa.gov/uscert/ncas/current-activity/2022/04/06/citrix-releases-security-updates-hypervisor 概要 複数のCitrix製品には、脆弱性があります。結果として、ハイパーバイザーの ホストがクラッシュするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix Hypervisor 8.2 CU1 LTSRより前のバージョン - Citrix Hypervisor 8.2より前のバージョン - Citrix XenServer 7.1 CU2 LTSRより前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのパッチを適用するこ とで解決します。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix Hypervisor Security Update https://support.citrix.com/article/CTX390511 【4】複数のVMware製品に脆弱性 情報源 CISA Current Activity VMware Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/04/07/vmware-releases-security-updates 概要 複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者がコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。 詳細はVMwareが提供するアドバイザリ情報を参照してください。 - VMware Workspace ONE Access (Access) - VMware Identity Manager (vIDM) - VMware vRealize Automation (vRA) - VMware Cloud Foundation - vRealize Suite Lifecycle Manager - VMware Horizon Client for Linux この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。 関連文書 (英語) VMware VMSA-2022-0011 https://www.vmware.com/security/advisories/VMSA-2022-0011.html VMware VMSA-2022-0012 https://www.vmware.com/security/advisories/VMSA-2022-0012.html 【5】トレンドマイクロ製ウイルスバスター for Macに権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97833256 トレンドマイクロ製ウイルスバスター for Macにおける権限昇格の脆弱性 https://jvn.jp/vu/JVNVU97833256/ 概要 トレンドマイクロ株式会社が提供するウイルスバスター for Macには、権限昇 格の脆弱性があります。結果として、ローカルのユーザーが任意のコードを実 行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスター for Mac バージョン11.5 - ウイルスバスター for Mac バージョン11.0 この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社 が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2022-27883) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10976 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「組織における内部不正防止ガイドライン」第5版を公開 2022年4月6日、IPAが「組織における内部不正防止ガイドライン」第5版を公開。 5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正 に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しています。 参考文献 (日本語) 情報処理推進機構(IPA) 「組織における内部不正防止ガイドライン」第5版を公開 https://www.ipa.go.jp/about/press/20220406.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJiVhDBAAoJEKntH+qu5CT/bZEQAIEbnxex5zjSBXSgtx+Aq8r9 VwFXABv8Br5UIFV36T7Rcz66B8kEBM0tGHQQ7DqstTUlmGmTJl9FZbFZxfPZrKso WTNXIMu/ryUIZJfta5jZsqCswX4EzO2dohFVFMXLF35hDv+O2hosgVOtbqf1BUkP 3WNMnRE1qC05hX4rYbymIfCryDiysFh+uMNJMuExkmwk1tt7PiX+d2Gl149fHC4I trvSt1X93H6jbhMrsj6vGNXVSxbENOnePjmwWWbhy40hYDVbuSeSaBv9hIhETGou 5G0rUQTzn5m7AlNqVSq6GW0Vvbimo3iBMcW04X/MRXi7FMFq/QKdhPdNTxtIfH/M bwiZHQ2bPSG2/4Wb1ehb2EaUgnyy0zr+KRhyi0BHVwweRA01TFZmoEtTxIxL5cVn yfEFQe8pkO1nYbA5mpxQChJE1e+kmS06PXcpXUXVJ8lvUaJaSjOGEfqRX794Ci58 QCB1JRshRXG4eEQ5erWEWoN7Rq5Xk8ZV6PPjfskyQwGyPVfDEHutFcGE1/dTvWQS 0PUahU1eUyVsMlS4THHjvo+8B4XBbV98skURUGEKTUS5zaCbVJBtuwYvbSy3Y1xc CMl3XOyp2r+f/7jKJ1nuGcdU8IxxkGn31IBmboASLDLuadNdWPZCF8KB+f1DZ8K6 VOAP5D5/1zTslz7OosHZ =aI5W -----END PGP SIGNATURE-----