News

セキュリティエンジニアが気になったニュースまとめ 2022/8/1~8/5
2022.08.12

セキュリティエンジニアが気になったニュースまとめ 2022/8/1~8/5

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/8/3

Google、「Chrome 104」をリリース – セキュリティに関する27件の修正を実施

https://www.security-next.com/138636

今回のアップデートでは、セキュリティに関する27件の修正を実施。CVEベースで22件の脆弱性に対処したことを明らかにしている。重要度がもっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。

重要度が2番目に高い「高(High)」とされる脆弱性は7件。具体的には「CVE-2022-2603」「CVE-2022-2604」など「Use After Free」の脆弱性6件や域外メモリの読み込み1件などを解消した。のこる15件の脆弱性に関しては、重要度が1段階低い「中(Medium)」とレーティングされている。

・以下、「Chrome 104」にて修正された脆弱性の一覧
CVE-2022-2603
CVE-2022-2604
CVE-2022-2605
CVE-2022-2606
CVE-2022-2607
CVE-2022-2608
CVE-2022-2609
CVE-2022-2610
CVE-2022-2611
CVE-2022-2612
CVE-2022-2613
CVE-2022-2614
CVE-2022-2615
CVE-2022-2616
CVE-2022-2617
CVE-2022-2618
CVE-2022-2619
CVE-2022-2620
CVE-2022-2621
CVE-2022-2622
CVE-2022-2623
CVE-2022-2624

・参考情報
Chrome Releases
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop.html
 

2022/8/3

VMwareのID管理製品に再び深刻な脆弱性 – 早急に更新の実施を

https://www.security-next.com/138621

「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」においてあわせて10件の脆弱性が明らかとなったもの。いずれも非公開で同社に対して報告があったもので、悪用は確認されていない。

・以下、各種製品で修正された脆弱性の一覧
CVE-2022-31656
CVE-2022-31658
CVE-2022-31659
CVE-2022-31660
CVE-2022-31661
CVE-2022-31664
CVE-2022-31665
CVE-2022-31657
CVE-2022-31662
CVE-2022-31663

上記の中でも、「CVE-2022-31656」については「CVSSv3.1」のベーススコアを「9.8」と、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価されてることから、早急に最新のパッチを適用することを推奨します。

・参考情報等
VMware VMSA-2022-0021
https://www.vmware.com/security/advisories/VMSA-2022-0021.html

・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document
 

2022/8/5

F5、8月のセキュリティパッチを公開 – 「BIG-IP」などの脆弱性に対処

https://www.security-next.com/138686

今回のアップデートでは「BIG-IP」や「BIG-IQ」「NGINX」の管理製品など、あわせて21件の脆弱性を修正した。4段階の重要度においてもっとも高い「クリティカル(Critical)」とレーティングされる脆弱性は含まれていない。

・以下、各種製品で修正された脆弱性の一覧
CVE-2022-35243
CVE-2022-35728
CVE-2022-34655
CVE-2022-35245
CVE-2022-35240
CVE-2022-35236
CVE-2022-34651
CVE-2022-32455
CVE-2022-34862
CVE-2022-33203
CVE-2022-35272
CVE-2022-35735
CVE-2022-31473
CVE-2022-33962
CVE-2022-35241
CVE-2022-30535
CVE-2022-34844
CVE-2022-33947
CVE-2022-34865
CVE-2022-34851
CVE-2022-33968

上記うち、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価された脆弱性は含まれていませんが、2番目に高い「高(High)」とされる脆弱性が12件が今回のアップデートで対策されているため、公式ベンダ情報をご確認の上、早急に最新のパッチを適用することを推奨します。

・参考情報
K14649763: Overview of F5 vulnerabilities (August 2022)
https://support.f5.com/csp/article/K14649763

・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document
 

2022/8/5

カスペルスキーのVPN製品に権限昇格の脆弱性

https://www.security-next.com/138707

Windows向けに提供されている「カスペルスキーVPNセキュアコネクション」に権限昇格の脆弱性が明らかとなった。

・修正された脆弱性
CVE-2022-27535

「CVSSv3.1」のベーススコアは「7.8」と評価されていますが、5月末に上記脆弱性が修正されたバージョンがリリースされています。
「カスペルスキーVPNセキュアコネクション」を利用している方は、同製品のバージョン情報を確認し、「21.7.7.393」以降のバージョンにアップデートされているか確認することをお勧めします。

・参考情報
CyRC Vulnerability Advisory: Local privilege escalation in Kaspersky VPN
https://www.synopsys.com/blogs/software-security/cyrc-advisory-kasperksy-vpn-microsoft-windows/

・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document

 
まとめのまとめ

今週は、利用頻度の高いブラウザやアンチウイルスソフト、Webサーバなどの製品において、脆弱性が修正されたアップデート情報をまとめました。
既に各ベンダが脆弱性を評価して適切に対処した後のリリース情報が多いことから、既にパッチ適用や最新バージョンにアップデートするなどの対応を行った方も多いかと思いますが、改めて現在使用している製品に問題ないか確認することをお勧めします。

担当:KK

Recent News

Recent Tips

Tag Search