-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-5101
                                                                   JPCERT/CC
                                                                  2022-12-28

            <<< JPCERT/CC WEEKLY REPORT 2022-12-28 >>>

――――――――――――――――――――――――――――――――――――――
■12/18(日)〜12/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla Thunderbirdにコード実行の脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性
【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性
【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
【今週のひとくちメモ】JPCERT/CCが「2022年10月から12月を振り返って」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr225101.html
        https://www.jpcert.or.jp/wr/2022/wr225101.xml
============================================================================


【1】Mozilla Thunderbirdにコード実行の脆弱性

    情報源
      Mozilla
      Security Vulnerabilities fixed in Thunderbird 102.6.1
      https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/

    概要
      Mozilla Thunderbirdでは、名前の長いファイルをドラッグ＆ドロップした場
      合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Mozilla Thunderbird 102.6.1より前のバージョン

      この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#96679793
      Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
      https://jvn.jp/vu/JVNVU96679793/

    概要
      Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
      あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
      あります。

      対象となる製品は次のとおりです。

      - Trend Micro Apex One 2019
      - Trend Micro Apex One SaaS

      この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
      詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      トレンドマイクロ株式会社
      アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月30日）
      https://success.trendmicro.com/jp/solution/000291841

【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#43561812
      スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における Unicode 制御文字の扱いに関する脆弱性
      https://jvn.jp/jp/JVN43561812/

    概要
      スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にはUnicode制
      御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
      報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
      があります。

      対象となるバージョンは次のとおりです。

      ソフトバンク株式会社
      - Android アプリ「＋メッセージ（プラスメッセージ）」12.9.5より前のバージョン
      - iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

      株式会社NTTドコモ
      - Android アプリ「＋メッセージ（プラスメッセージ）」54.49.0500より前のバージョン
      - iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

      KDDI株式会社
      - Android アプリ「＋メッセージ（プラスメッセージ）」3.9.2より前のバージョン
      - iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      ソフトバンク株式会社
      ＋メッセージ（プラスメッセージ）
      https://www.softbank.jp/mobile/service/plus-message/

      株式会社NTTドコモ
      ＋メッセージ（プラスメッセージ）
      https://www.docomo.ne.jp/service/plus_message/

      KDDI株式会社
      お知らせ：＋メッセージ（プラスメッセージ）
      https://www.au.com/mobile/service/plus-message/information/

【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#06093462
      Zenphoto におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN06093462/

    概要
      Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
      当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
      実行される可能性があります。

      対象となるバージョンは次のとおりです。

      - Zenphoto 1.6より前のバージョン

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      Zenphoto
      GitHub - zenphoto / zenphoto
      https://github.com/zenphoto/zenphoto

      Zenphoto
      ZenphotoCMS - The simpler media website CMS
      https://www.zenphoto.org/

【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

    情報源
      Japan Vulnerability Notes JVN#13075438
      コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
      https://jvn.jp/jp/JVN13075438/

    概要
      コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
      には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
      して、当該サービスの権限で不正なファイルが実行される可能性があります。

      対象となるバージョンは次のとおりです。

      - Roxio Creator LJB バージョン : 12.2、ビルド : 106B62B
      - Roxio Creator LJB バージョン : 12.2、ビルド : 106B63A
      - Roxio Creator LJB バージョン : 12.2、ビルド : 106B69A
      - Roxio Creator LJB バージョン : 12.2、ビルド : 106B71A
      - Roxio Creator LJB バージョン : 12.2、ビルド : 106B74A

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
      が提供する情報を参照してください。

    関連文書 (日本語)
      Corel Corporation
      Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
      https://kb.corel.com/jp/129393

      富士通株式会社
      コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
      https://www.fmworld.net/biz/common/corel/20221110.html

【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#29902403
      Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN29902403/

    概要
      Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
      存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
      ストーラーを実行している権限で任意のコードが実行される可能性があります。

      対象となるバージョンは次のとおりです。

      - Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー

      この問題は、developブランチの最新のソースコードから作成されたSquirrel.
      Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
      供する情報を参照してください。

    関連文書 (英語)
      Squirrel
      Better delay load urlmon and move official build to GH Actions #1807
      https://github.com/Squirrel/Squirrel.Windows/pull/1807


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「2022年10月から12月を振り返って」を公開

      2022年12月22日、JPCERT/CCは「2022年10月から12月を振り返って」を公開し
      ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
      などをまとめています。JPCERT/CCでは、日頃より脆弱性情報や脅威情報などに
      関する情報発信を行っておりますので、適時ご確認ください。

    参考文献 (日本語)
      JPCERT/CC CyberNewsFlash
      2022年10月から12月を振り返って
      https://www.jpcert.or.jp/newsflash/2022122201.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=c6eu
-----END PGP SIGNATURE-----