-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-4501
                                                                   JPCERT/CC
                                                                  2022-11-16

            <<< JPCERT/CC WEEKLY REPORT 2022-11-16 >>>

――――――――――――――――――――――――――――――――――――――
■11/06(日)〜11/12(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のマイクロソフト製品に脆弱性
【2】複数のCitrix製品に複数の脆弱性
【3】VMware製品に複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のApple製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
【9】WordPressに複数の脆弱性
【10】複数のUEFI実装における競合状態に関する脆弱性
【11】アイホン製インターホンシステムに情報漏えいの脆弱性
【今週のひとくちメモ】Internet Week 2022開催のお知らせ

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr224501.html
        https://www.jpcert.or.jp/wr/2022/wr224501.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

    情報源
      CISA Current Activity
      Microsoft Releases November 2022 Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/microsoft-releases-november-2022-security-updates

    概要
      複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
      で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2022 年 11 月のセキュリティ更新プログラム (月例)
      https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

      JPCERT/CC 注意喚起
      2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220031.html

【2】複数のCitrix製品に複数の脆弱性

    情報源
      CISA Current Activity
      Citrix Releases Security Updates for ADC and Gateway
      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/citrix-releases-security-updates-adc-and-gateway

    概要
      複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が認証を
      回避するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Citrix ADCおよびCitrix Gateway 13.1-33.47より前の13.1系のバージョン
      - Citrix ADCおよびCitrix Gateway 13.0-88.12より前の13.0系のバージョン
      - Citrix ADCおよびCitrix Gateway 12.1-65.21より前の12.1系のバージョン
      - Citrix ADC 12.1-FIPS 12.1-55.289より前のバージョン
      - Citrix ADC 12.1-NDcPP 12.1-55.289より前のバージョン

      この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Citrixが提供する情報を参照してください。

    関連文書 (英語)
      Citrix
      Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
       https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

【3】VMware製品に複数の脆弱性

    情報源
      CISA Current Activity
      VMware Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates

    概要
      VMware Workspace ONE Assistには、複数の脆弱性があります。結果として、
      遠隔の第三者が認証を経ずにアプリケーションへアクセスするなどの可能性が
      あります。

      対象となる製品およびバージョンは次のとおりです。

      - VMware Workspace ONE Assist 21系および22系のバージョン

      この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、VMwareが提供する情報を参照してください。

    関連文書 (英語)
      VMware
      VMSA-2022-0028
      https://www.vmware.com/security/advisories/VMSA-2022-0028.html

【4】複数のCisco製品に脆弱性

    情報源
      CISA Current Activity
      Cisco Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisco-releases-security-updates-multiple-products

    概要
      複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
      ビス運用妨害（DoS）攻撃などを行う可能性があります。

      影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
      る情報を参照してください。

      この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

    関連文書 (英語)
      Cisco
      Cisco Security Advisories
      https://tools.cisco.com/security/center/publicationListing.x

【5】複数のIntel製品に脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#94499505
      Intel製品に複数の脆弱性（2022年11月）
      https://jvn.jp/vu/JVNVU94499505/

    概要
      Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
      Center Advisoriesが公開されました。

      詳細は、Intelが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      Intel製品に関する複数の脆弱性について
      https://www.jpcert.or.jp/newsflash/2022110901.html

    関連文書 (英語)
      Intel
      Intel Product Security Center Advisories
      https://www.intel.com/content/www/us/en/security-center/default.html

【6】複数のApple製品に脆弱性

    情報源
      Apple
      macOS Ventura 13.0.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213504

      Apple
      iOS 16.1.1 および iPadOS 16.1.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213505

    概要
      複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - macOS Ventura 13.0.1より前のバージョン
      - iOS 16.1.1より前のバージョン
      - iPadOS 16.1.1より前のバージョン

      この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Appleが提供する情報を参照してください。

【7】Google Chromeに複数の脆弱性

    情報源
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html

    概要
      Google Chromeには、複数の脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 107.0.5304.106/107（Windows版）より前のバージョン
      - Google Chrome 107.0.5304.110（Mac版）より前のバージョン
      - Google Chrome 107.0.5304.110（Linux版）より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

    情報源
      トレンドマイクロ株式会社
      アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月）
      https://success.trendmicro.com/jp/solution/000291774

    概要
      Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
      脆弱な端末にアクセスできる第三者が権限を昇格するなどの可能性がありま
      す。

      対象となる製品は次のとおりです。

      - Apex One 2019
      - Apex One SaaS

      この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
      バージョンに更新することで解決します。なお、Apex One SaaSについては
      2022年10月のメンテナンスで修正済みとのことです。詳細はトレンドマイクロ
      株式会社が提供する情報を参照してください。

【9】WordPressに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#09409909
      WordPress における複数の脆弱性
      https://jvn.jp/jp/JVN09409909/

    概要
      WordPressには、複数の脆弱性があります。結果として、当該製品を使用する
      サイトを閲覧しているユーザーのWebブラウザー上で、任意のスクリプトが実
      行されるなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - WordPress 6.0.3より前のバージョン

      この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
      新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
      さい。


    関連文書 (英語)
      WordPress
      WordPress 6.0.3 Security Release
      https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/

【10】複数のUEFI実装における競合状態に関する脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#96604488
      複数のUEFI実装における競合状態に関する脆弱性
      https://jvn.jp/vu/JVNVU96604488/

    概要
      複数のUEFI実装において、高い特権で任意のコードが実行される競合状態の問
      題が発見されました。結果として、悪意のある第三者がSecureBootやBootGuard
      といった、UEFIのセキュリティ機能をバイパスするなどの可能性があります。

      この問題に関する詳細は、CERT/CCが提供する情報を参照してください。

    関連文書 (英語)
      CERT/CC Vulnerability Note VU#434994
      Multiple race conditions due to TOCTOU flaws in various UEFI Implementations
      https://kb.cert.org/vuls/id/434994

【11】アイホン製インターホンシステムに情報漏えいの脆弱性

    情報源
      Japan Vulnerability Notes JVN#75437943
      アイホン製インターホンシステムにおける情報漏えいの脆弱性
      https://jvn.jp/jp/JVN75437943/

    概要
      アイホン株式会社が提供するインターホンシステムには、情報漏えいの脆弱性
      があります。結果として、製品に関する特定の情報を不正に入手して当該製品
      にアクセス可能な第三者が、機器内に登録されている機微な情報を取得する可
      能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - GT-DMB-N Ver3.00より前のバージョン
      - GT-DMB Ver3.00より前のバージョン
      - GT-DMB-LVN Ver3.00より前のバージョン
      - GT-DB-VN Ver2.00より前のバージョン

      開発者によると、2021年12月7日以降に出荷した製品は対策ファームウェアを
      適用済みとのことです。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      アイホン株式会社
      テナントビル用インターホン集合玄関機「GT-DMB-N」・「GT-DMB」をご利用のお客様へ
      https://www.aiphone.co.jp/customer/20221110.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Internet Week 2022開催のお知らせ

      2022年11月21日（月）から30日（水）まで、一般社団法人日本ネットワークイン
      フォメーションセンター（JPNIC）は、「Internet Week 2022」をオンライン
      開催および、一部会期を現地会場とオンラインのハイブリッドで開催します。
      インターネットに関する技術の研究・開発、 構築・運用・サービスに関わる
      人々が、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、
      理解と交流を深めるためのイベントです。JPCERT/CCは本カンファレンスを後
      援しています。詳細は、JPNICが提供する情報を確認してください。

    参考文献 (日本語)
      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      Internet Week 2022
      https://www.nic.ad.jp/iw2022/

      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      参加申込
      https://www.nic.ad.jp/iw2022/apply/main/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=sBNA
-----END PGP SIGNATURE-----