JPCERT-WR-2022-5101
2022-12-28
2022-12-18
2022-12-24
Mozilla Thunderbirdにコード実行の脆弱性
Mozilla Thunderbirdでは、名前の長いファイルをドラッグ&ドロップした場
合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 102.6.1より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。
Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
あります。
対象となる製品は次のとおりです。
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月30日)
https://success.trendmicro.com/jp/solution/000291841
スマートフォンアプリ「+メッセージ(プラスメッセージ)」にUnicode制御文字の扱いに関する脆弱性
スマートフォンアプリ「+メッセージ(プラスメッセージ)」にはUnicode制
御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
があります。
対象となるバージョンは次のとおりです。
ソフトバンク株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」12.9.5より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
株式会社NTTドコモ
- Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
KDDI株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」3.9.2より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
ソフトバンク株式会社
+メッセージ(プラスメッセージ)
https://www.softbank.jp/mobile/service/plus-message/
株式会社NTTドコモ
+メッセージ(プラスメッセージ)
https://www.docomo.ne.jp/service/plus_message/
KDDI株式会社
お知らせ:+メッセージ(プラスメッセージ)
https://www.au.com/mobile/service/plus-message/information/
Zenphotoにおけるクロスサイトスクリプティングの脆弱性
Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
実行される可能性があります。
対象となるバージョンは次のとおりです。
- Zenphoto 1.6より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
Zenphoto
GitHub - zenphoto / zenphoto
https://github.com/zenphoto/zenphoto
Zenphoto
ZenphotoCMS - The simpler media website CMS
https://www.zenphoto.org/
コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
して、当該サービスの権限で不正なファイルが実行される可能性があります。
対象となるバージョンは次のとおりです。
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B62B
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B63A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B69A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B71A
- Roxio Creator LJB バージョン : 12.2、ビルド : 106B74A
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
が提供する情報を参照してください。
Corel Corporation
Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
https://kb.corel.com/jp/129393
富士通株式会社
コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
https://www.fmworld.net/biz/common/corel/20221110.html
Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
ストーラーを実行している権限で任意のコードが実行される可能性があります。
対象となるバージョンは次のとおりです。
- Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー
この問題は、developブランチの最新のソースコードから作成されたSquirrel.
Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
供する情報を参照してください。
Squirrel
Better delay load urlmon and move official build to GH Actions #1807
https://github.com/Squirrel/Squirrel.Windows/pull/1807
JPCERT/CCが「2022年10月から12月を振り返って」を公開
2022年12月22日、JPCERT/CCは「2022年10月から12月を振り返って」を公開し
ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
などをまとめています。JPCERT/CCでは、日頃より脆弱性情報や脅威情報などに
関する情報発信を行っておりますので、適時ご確認ください。
JPCERT/CC CyberNewsFlash
2022年10月から12月を振り返って
https://www.jpcert.or.jp/newsflash/2022122201.html