ITを学ぶなら
「テックプロジン」

News

セキュリティエンジニアが気になったニュースまとめ 2022/4/6~4/13
2022.04.15

セキュリティエンジニアが気になったニュースまとめ 2022/4/6~4/13

sec

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/4/6

「Firefox 99」がリリースに、脆弱性11件を修正

https://www.security-next.com/135484

今回のアップデートでは、「リーダーモード」や「PDFビューア」「Linuxサンドボックス」の強化など行ったほか、11件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。

「高(High)」の脆弱性は3件、「中(Moderate)」の脆弱性が5件で、「低(Low)」の脆弱性を3件を修正しているので、Firefoxを使用しているユーザはアップデートすることをお勧めします。

・以下、「Firefox 99」にて修正された脆弱性
CVE-2022-1097
CVE-2022-24713
CVE-2022-28281
CVE-2022-28282
CVE-2022-28283
CVE-2022-28284
CVE-2022-28285
CVE-2022-28286
CVE-2022-28287
CVE-2022-28288
CVE-2022-28289

・参考情報
Security Vulnerabilities fixed in Firefox 99
https://www.mozilla.org/en-US/security/advisories/mfsa2022-13/

 

2022/4/8

「Chrome」や「Microsoft Edge」にセキュリティアップデート

https://www.security-next.com/135583

Googleやマイクロソフトでは、脆弱性1件に対処したブラウザのセキュリティアップデートをリリースした。

今回のアップデートは、ブラウザに実装されているJavaScriptエンジン「V8」に明らかとなった型の取り違えが生じる脆弱性「CVE-2022-1232」に対処したもの。
Chrome および Microsoft Edge を利用しているユーザは、適宜アップデートすることをお勧めします。

・参考情報等
Chromeリリース
https://chromereleases.googleblog.com/

Microsoft Edge セキュリティ更新プログラムのリリースノート
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security#april-7-2022

 

2022/4/6

「ウイルスバスター for Mac」に権限昇格の脆弱性

https://www.security-next.com/135524

トレンドマイクロが提供する「ウイルスバスター for Mac」に権限昇格の脆弱性が含まれていることが明らかとなった。

同製品において、ログインしたユーザーによって管理者権限を取得されるおそれがある脆弱性「CVE-2022-27883」が明らかとなったもの。脆弱性が公表された3月30日の時点で悪用は確認されていない。

共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.8」で、月額版も含めた「同11.5」「同11.0」が影響を受けるとのこと。
macOSで同製品を利用してるユーザは、以下のバージョンにアップデートすることを推奨します。

・バージョン11.5を利用している場合
11.5.1038、またはそれ以上のバージョン

・バージョン11.0を利用している場合
11.0.2190、またはそれ以上のバージョン

・参考情報等
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2022-27883)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10976

・共通脆弱性評価システム「CVSSv3.1」
Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document

 

2022/4/13

「Apache Struts 2」に脆弱性 – 悪用観測ある既知脆弱性の対処不十分で

https://www.security-next.com/135746

「Apache Struts 2」にあらたな脆弱性が明らかとなった。2020年に実施された脆弱性の修正が不十分だったという。

「同2.5.29」および以前のバージョンに、強制的なOGNL評価を行うとタグの二重評価が生じる脆弱性「CVE-2021-31805」が明らかとなったもの。

悪用された場合、リモートよりコードを実行されるおそれがあり、重要度は「重要(Important)」とレーティングされているとのこと。
「CVE-2021-31805」に対処した「同2.5.30」がリリースされているので、「Apache Struts 2」を利用している場合はアップデートすることをお勧めします。

・参考情報
Apache Struts 2 Documentation Security Bulletins S2-062
https://cwiki.apache.org/confluence/display/WW/S2-062

Apache Struts 2の脆弱性(S2-062)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220011.html

まとめのまとめ
今週は、利用頻度の高いブラウザやアンチウイルスソフト、Webアプリケーションフレームワークなどの製品において、脆弱性が修正されたアップデート情報をまとめました。
本まとめに記載していませんが、その他にも「Adobe Acrobat/Reader」「Spring Framework」「OpenSSL」など、著名なソフトウエアやサーバ製品、フレームワークなどで脆弱性が報告されています。
その他にも、MSの月例パッチで脆弱性119件されるなど、比較的セキュリティ関連の情報が多い一週間でした。

担当:KK

セキュリティエンジニアが気になったニュースまとめ 2022/4/1~4/5
セキュリティエンジニアが気になったニュースまとめ 2022/4/14~4/22
一覧へ戻る

Recent News

Recent Tips

Tag Search