セキュリティエンジニアが気になったニュースまとめ 2022/4/6~4/13
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/4/6
「Firefox 99」がリリースに、脆弱性11件を修正
https://www.security-next.com/135484
今回のアップデートでは、「リーダーモード」や「PDFビューア」「Linuxサンドボックス」の強化など行ったほか、11件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。
「高(High)」の脆弱性は3件、「中(Moderate)」の脆弱性が5件で、「低(Low)」の脆弱性を3件を修正しているので、Firefoxを使用しているユーザはアップデートすることをお勧めします。
・以下、「Firefox 99」にて修正された脆弱性
CVE-2022-1097
CVE-2022-24713
CVE-2022-28281
CVE-2022-28282
CVE-2022-28283
CVE-2022-28284
CVE-2022-28285
CVE-2022-28286
CVE-2022-28287
CVE-2022-28288
CVE-2022-28289
・参考情報
Security Vulnerabilities fixed in Firefox 99
https://www.mozilla.org/en-US/security/advisories/mfsa2022-13/
2022/4/8
「Chrome」や「Microsoft Edge」にセキュリティアップデート
https://www.security-next.com/135583
Googleやマイクロソフトでは、脆弱性1件に対処したブラウザのセキュリティアップデートをリリースした。
今回のアップデートは、ブラウザに実装されているJavaScriptエンジン「V8」に明らかとなった型の取り違えが生じる脆弱性「CVE-2022-1232」に対処したもの。
Chrome および Microsoft Edge を利用しているユーザは、適宜アップデートすることをお勧めします。
・参考情報等
Chromeリリース
https://chromereleases.googleblog.com/
Microsoft Edge セキュリティ更新プログラムのリリースノート
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security#april-7-2022
2022/4/6
「ウイルスバスター for Mac」に権限昇格の脆弱性
https://www.security-next.com/135524
トレンドマイクロが提供する「ウイルスバスター for Mac」に権限昇格の脆弱性が含まれていることが明らかとなった。
同製品において、ログインしたユーザーによって管理者権限を取得されるおそれがある脆弱性「CVE-2022-27883」が明らかとなったもの。脆弱性が公表された3月30日の時点で悪用は確認されていない。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.8」で、月額版も含めた「同11.5」「同11.0」が影響を受けるとのこと。
macOSで同製品を利用してるユーザは、以下のバージョンにアップデートすることを推奨します。
・バージョン11.5を利用している場合
11.5.1038、またはそれ以上のバージョン
・バージョン11.0を利用している場合
11.0.2190、またはそれ以上のバージョン
・参考情報等
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2022-27883)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10976
・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document
2022/4/13
「Apache Struts 2」に脆弱性 – 悪用観測ある既知脆弱性の対処不十分で
https://www.security-next.com/135746
「Apache Struts 2」にあらたな脆弱性が明らかとなった。2020年に実施された脆弱性の修正が不十分だったという。
「同2.5.29」および以前のバージョンに、強制的なOGNL評価を行うとタグの二重評価が生じる脆弱性「CVE-2021-31805」が明らかとなったもの。
悪用された場合、リモートよりコードを実行されるおそれがあり、重要度は「重要(Important)」とレーティングされているとのこと。
「CVE-2021-31805」に対処した「同2.5.30」がリリースされているので、「Apache Struts 2」を利用している場合はアップデートすることをお勧めします。
・参考情報
Apache Struts 2 Documentation Security Bulletins S2-062
https://cwiki.apache.org/confluence/display/WW/S2-062
Apache Struts 2の脆弱性(S2-062)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220011.html
まとめのまとめ
今週は、利用頻度の高いブラウザやアンチウイルスソフト、Webアプリケーションフレームワークなどの製品において、脆弱性が修正されたアップデート情報をまとめました。
本まとめに記載していませんが、その他にも「Adobe Acrobat/Reader」「Spring Framework」「OpenSSL」など、著名なソフトウエアやサーバ製品、フレームワークなどで脆弱性が報告されています。
その他にも、MSの月例パッチで脆弱性119件されるなど、比較的セキュリティ関連の情報が多い一週間でした。
担当:KK