■12/18(日)~12/24(土) のセキュリティ関連情報
目 次
【1】Mozilla Thunderbirdにコード実行の脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」にUnicode制御文字の扱いに関する脆弱性
【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性
【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
【今週のひとくちメモ】JPCERTCCが「2022年10月から12月を振り返って」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
httpswww.jpcert.or.jpwr
※HTML 版および XML版は以下のページをご覧ください。
httpswww.jpcert.or.jpwr2022wr225101.html
httpswww.jpcert.or.jpwr2022wr225101.xml
============================================================================
【1】Mozilla Thunderbirdにコード実行の脆弱性
情報源
Mozilla
Security Vulnerabilities fixed in Thunderbird 102.6.1
httpswww.mozilla.orgen-USsecurityadvisoriesmfsa2022-54
概要
Mozilla Thunderbirdでは、名前の長いファイルをドラッグ&ドロップした場
合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 102.6.1より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96679793
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
httpsjvn.jpvuJVNVU96679793
概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
あります。
対象となる製品は次のとおりです。
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラートアドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月30日)
httpssuccess.trendmicro.comjpsolution000291841
【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」にUnicode制御文字の扱いに関する脆弱性
情報源
Japan Vulnerability Notes JVN#43561812
スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性
httpsjvn.jpjpJVN43561812
概要
スマートフォンアプリ「+メッセージ(プラスメッセージ)」にはUnicode制
御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
があります。
対象となるバージョンは次のとおりです。
ソフトバンク株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」12.9.5より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
株式会社NTTドコモ
- Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
KDDI株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」3.9.2より前のバージョン
- iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
ソフトバンク株式会社
+メッセージ(プラスメッセージ)
httpswww.softbank.jpmobileserviceplus-message
株式会社NTTドコモ
+メッセージ(プラスメッセージ)
httpswww.docomo.ne.jpserviceplus_message
KDDI株式会社
お知らせ:+メッセージ(プラスメッセージ)
httpswww.au.commobileserviceplus-messageinformation
【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#06093462
Zenphoto におけるクロスサイトスクリプティングの脆弱性
httpsjvn.jpjpJVN06093462
概要
Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
実行される可能性があります。
対象となるバージョンは次のとおりです。
- Zenphoto 1.6より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Zenphoto
GitHub - zenphoto zenphoto
httpsgithub.comzenphotozenphoto
Zenphoto
ZenphotoCMS - The simpler media website CMS
httpswww.zenphoto.org
【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
情報源
Japan Vulnerability Notes JVN#13075438
コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
httpsjvn.jpjpJVN13075438
概要
コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
して、当該サービスの権限で不正なファイルが実行される可能性があります。
対象となるバージョンは次のとおりです。
- Roxio Creator LJB バージョン 12.2、ビルド 106B62B
- Roxio Creator LJB バージョン 12.2、ビルド 106B63A
- Roxio Creator LJB バージョン 12.2、ビルド 106B69A
- Roxio Creator LJB バージョン 12.2、ビルド 106B71A
- Roxio Creator LJB バージョン 12.2、ビルド 106B74A
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
が提供する情報を参照してください。
関連文書 (日本語)
Corel Corporation
Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
httpskb.corel.comjp129393
富士通株式会社
コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
httpswww.fmworld.netbizcommoncorel20221110.html
【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#29902403
Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
httpsjvn.jpjpJVN29902403
概要
Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
ストーラーを実行している権限で任意のコードが実行される可能性があります。
対象となるバージョンは次のとおりです。
- Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー
この問題は、developブランチの最新のソースコードから作成されたSquirrel.
Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
供する情報を参照してください。
関連文書 (英語)
Squirrel
Better delay load urlmon and move official build to GH Actions #1807
httpsgithub.comSquirrelSquirrel.Windowspull1807
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○JPCERTCCが「2022年10月から12月を振り返って」を公開
2022年12月22日、JPCERTCCは「2022年10月から12月を振り返って」を公開し
ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
などをまとめています。JPCERTCCでは、日頃より脆弱性情報や脅威情報などに
関する情報発信を行っておりますので、適時ご確認ください。
参考文献 (日本語)
JPCERTCC CyberNewsFlash
2022年10月から12月を振り返って
httpswww.jpcert.or.jpnewsflash2022122201.html
――――――――――――――――――――――――――――――――――――――