<<< JPCERT/CC WEEKLY REPORT 2023-05-17 >>>
■05/07(日)〜05/13(土) のセキュリティ関連情報
目 次
【1】Beekeeper Studioにコードインジェクションの脆弱性
【2】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Adobe Substance 3D Painterに複数の脆弱性
【5】MicroEngine メールフォームに複数の脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
【8】WordPress用プラグインVK BlocksおよびVK All in One Expansion Unitにクロスサイトスクリプティングの脆弱性
【9】SR-7100VNに権限昇格の脆弱性
【10】LINE WORKS Driveエクスプローラーにコードインジェクションの脆弱性
【11】JINS MEME COREにハードコードされた暗号鍵の使用の脆弱性
【12】Microsoft Edgeに複数の脆弱性
【13】IPAが「暗号鍵管理ガイダンス第1版」を公開
【14】JPCERT/CCが「TSUBAMEレポート Overflow(2023年1-3月)」を公開
【15】JPCERT/CCが「注意喚起や情報共有活動における受信者側の「コスト」の問題」に関するブログを公開
【16】フィッシング対策協議会が「2023/04 フィッシング報告状況」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】Beekeeper Studioにコードインジェクションの脆弱性
情報源
概要
Beekeeper Studio, Inc.が提供するBeekeeper Studioには、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【2】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
情報源
概要
Citrix ADCおよびCitrix Gatewayには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【3】複数のMozilla製品に脆弱性
情報源
概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-18/
【4】Adobe Substance 3D Painterに複数の脆弱性
情報源
https://helpx.adobe.com/security/products/substance3d_painter/apsb23-29.html
概要
Adobe Substance 3D Painterには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【5】MicroEngine メールフォームに複数の脆弱性
情報源
概要
マイクロエンジン株式会社が提供するMicroEngine メールフォームには、複数の脆弱性があります。この問題は、当該製品の修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/05/09/microsoft-releases-may-2023-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2023/05/202305-security-update/
【7】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
情報源
概要
WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【8】WordPress用プラグインVK BlocksおよびVK All in One Expansion Unitにクロスサイトスクリプティングの脆弱性
情報源
概要
株式会社ベクトルが提供するWordPress用プラグインVK BlocksおよびVK All in One Expansion Unitには、複数のクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vektor-inc.co.jp/product-update/vk-blocks-exunit-xss/
【9】SR-7100VNに権限昇格の脆弱性
情報源
概要
アイコム株式会社が提供するSR-7100VNには、権限昇格の脆弱性があります。この問題は、当該製品のファームウェアを開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【10】LINE WORKS Driveエクスプローラーにコードインジェクションの脆弱性
情報源
概要
ワークスモバイルジャパン株式会社が提供するLINE WORKS Driveエクスプローラー(macOS版)には、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【11】JINS MEME COREにハードコードされた暗号鍵の使用の脆弱性
情報源
概要
株式会社ジンズが提供するJINS MEME COREには、ハードコードされた暗号鍵の使用の脆弱性があります。この問題は、当該製品のファームウェアを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【12】Microsoft Edgeに複数の脆弱性
情報源
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#may-5-2023
概要
Microsoft Edgeには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【13】IPAが「暗号鍵管理ガイダンス第1版」を公開
情報源
概要
2023年5月9日、独立行政法人情報処理推進機構(IPA)は「暗号鍵管理ガイダンス第1版」を公開しました。本ガイダンスは、従来から公開されている「暗号鍵管理システム設計指針(基本編)」で記載が求められる項目について検討する際の有用な副読本となることを目的として、「暗号アルゴリズム運用のための暗号鍵管理オペレーション対策」「暗号アルゴリズムの選択」および「暗号アルゴリズム運用に必要な鍵情報の管理」における各項目の解説・考慮点を提供しています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005u7d-att/ipa-cryptrec-gl-3004-1.0.pdf
【14】JPCERT/CCが「TSUBAMEレポート Overflow(2023年1-3月)」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/tsubame_overflow_2023-01-03.html
概要
2023年5月11日、JPCERT/CCは「TSUBAMEレポート Overflow(2023年1-3月)」を公開しました。2023年1-3月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202301-03.html
【15】JPCERT/CCが「注意喚起や情報共有活動における受信者側の「コスト」の問題」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/cost-and-effectiveness-of-alerts.html
概要
2023年5月9日、JPCERT/CCは「注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー」と題したブログをJPCERT/CC Eyesで公開しました。本ブログでは、より効果的な注意喚起や情報共有活動に向けて情報発信者側が留意すべき点について必要な視点について紹介しています。
【16】フィッシング対策協議会が「2023/04 フィッシング報告状況」を公開
情報源
概要
2023年5月9日、フィッシング対策協議会は「2023/04 フィッシング報告状況」を公開しました。フィッシング報告件数、フィッシングサイトのURL件数、フィッシングに悪用されたブランド件数の報告状況などの情報が纏められています。
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/