セキュリティエンジニアが気になったニュースまとめ 2022/10/10~10/16
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/10/11
トレンドマイクロ製Deep SecurityおよびCloud One – Workload SecurityのWindows版Agentにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99960963/index.html
想定される影響
・境界外読み取りの脆弱性による情報漏えい
・リンク解釈の脆弱性による権限昇格
JVNでは、トレンドマイクロ株式会社が提供する情報をもとにパッチを適用するよう呼びかけています。
2022/10/13
お客様情報の漏洩に関するお詫びと、その対応に関するご報告
https://www.zkai.co.jp/post-39909/
受検者の受検結果画面に表示されます全体傾向と個人の結果を表す散布図について、ソースコードを表示しさらに詳細を表示していくと、
学校単位等の同じグループとして受検した他の受検者の氏名とスコアの確認が可能となっていたという不備を確認しました。
Z会は10月5日に同システムの修正を完了。対象となる受検者が所属する団体の管理者へ、電話およびメールで経緯の説明と謝罪を行っています。
2022/10/13
【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
https://www.bingo-cms.jp/information/20221011.html
攻撃者がアップロードされたファイルに対し特定のリクエストを送信することで、任意スクリプトの実行や不正なファイルの作成、
ファイルが改竄される恐れがあり、すでに脆弱性を悪用した攻撃が確認されています。
すでに攻撃が確認されており、同社は利用者に早急に対応してもらえるよう呼びかけています。
関連情報:JVN#74592196 bingo!CMS における認証回避の脆弱性
https://jvn.jp/jp/JVN74592196/
まとめのまとめ
今週も様々な種類のセキュリティ関連のニュースがありました。
自分に関連のあるシステム等のインシデントや脆弱性が報告され、対策の呼びかけがなされても
気づかなかったり対応しないままでいると被害にあってしまう可能性があります。
常にセキュリティニュースにアンテナをはっておくよう気を付けたいですね。
担当:CY