JPCERT-WR-2022-3701
2022-09-22
2022-09-11
2022-09-17
複数のマイクロソフト製品に脆弱性
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
マイクロソフト株式会社
2022 年 9 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/
JPCERT/CC 注意喚起
2022年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220024.html
複数のApple製品に脆弱性
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- iOS 15.7より前のバージョン
- iPadOS 15.7より前のバージョン
- macOS Big Sur 11.7より前のバージョン
- macOS Monterey 12.6より前のバージョン
- Safari 16より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年9月)
https://www.jpcert.or.jp/newsflash/2022091301.html
Apple
iOS 15.7 および iPadOS 15.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213445
Apple
macOS Big Sur 11.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213443
Apple
macOS Monterey 12.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213444
Apple
iOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213446
Apple
Safari 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213442
Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、当該製品の管理コンソールにログイン可能な第三者
が、任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。なお、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済
みとのことです。詳細は、開発者が提供する情報を参照してください。
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
https://success.trendmicro.com/jp/solution/000291471
トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553
JPCERT/CC 注意喚起
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220023.html
複数のアドビ製品に脆弱性
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Experience Manager (AEM)
- Adobe Bridge
- Adobe InDesign
- Adobe Photoshop
- Adobe InCopy
- Adobe Animate
- Adobe Illustrator
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022091401.html
アドビ
Security updates available for Adobe Experience Manager | APSB22-40
https://helpx.adobe.com/security/products/experience-manager/apsb22-40.html
アドビ
Security Updates Available for Adobe Bridge | APSB22-49
https://helpx.adobe.com/security/products/bridge/apsb22-49.html
アドビ
Security Update Available for Adobe InDesign | APSB22-50
https://helpx.adobe.com/security/products/indesign/apsb22-50.html
アドビ
Security update available for Adobe Photoshop | APSB22-52
https://helpx.adobe.com/security/products/photoshop/apsb22-52.html
アドビ
Security Update Available for Adobe InCopy | APSB22-53
https://helpx.adobe.com/security/products/incopy/apsb22-53.html
アドビ
Security updates available for Adobe Animate | APSB22-54
https://helpx.adobe.com/security/products/animate/apsb22-54.html
アドビ
Security Updates Available for Adobe Illustrator | APSB22-55
https://helpx.adobe.com/security/products/illustrator/apsb22-55.html
OpenAM(OpenAMコンソーシアム版)にオープンリダイレクトの脆弱性
OpenAM(OpenAMコンソーシアム版)には、オープンリダイレクトの脆弱性があ
ります。結果として、細工されたURLを通じて当該製品が稼働しているサーバー
にアクセスすることで、任意のWebサイトにリダイレクトされる可能性があり
ます。
対象となるバージョンは次のとおりです。
- OpenAM(OpenAMコンソーシアム版)14.0.0
この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。詳細は、開発者が提供する情報を参照してください。
OSSTech株式会社
OpenAM の脆弱性(CVE-2022-31735)について [am2022-1-1]
https://www.osstech.co.jp/support/am2022-1-1/
EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」
には、脆弱性があります。結果として、攻撃者が当該製品の管理者を細工した
ページに誘導し、特定の操作を実行させることにより、管理者のWebブラウザー
上で任意のスクリプトが実行されるなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- EC-CUBE 4.0.0から4.1.2まで(EC-CUBE 4系)
- EC-CUBE 3.0.0から3.0.18-p4まで(EC-CUBE 3系)
- 商品画像一括アップロードプラグイン 4.1.0
- 商品画像一括アップロードプラグイン 1.0.0
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。詳細は、開発者が提供する情報を
参照してください。
株式会社イーシーキューブ
EC-CUBEにおけるディレクトリトラバーサルの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/
株式会社イーシーキューブ
EC-CUBEにおけるクロスサイトスクリプティングの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/xss.php
株式会社イーシーキューブ
EC-CUBE用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性(JVN#30900552)
https://www.ec-cube.net/info/weakness/20220909/product_images_uploader.php
JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃」を公開
2022年9月15日、JPCERT/CCは「攻撃グループBlackTechによるF5 BIG-IPの脆弱
性(CVE-2022-1388)を悪用した攻撃」に関するブログをJPCERT/CC Eyesで公
開しました。2022年5月頃、JPCERT/CCはF5 BIG-IPの脆弱性(CVE-2022-1388)
を悪用して日本の組織に攻撃を行う活動を確認しました。この攻撃は、攻撃グ
ループBlackTechの活動と関連しているものと推測しています。本ブログでは、
今回確認した活動について紹介しています。
JPCERT/CC Eyes
攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃
https://blogs.jpcert.or.jp/ja/2022/09/bigip-exploit.html