ミニ・いんふぉめーしょん

目　次
【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
【2】すかいらーくアプリにアクセス制限不備の脆弱性
【3】Google Chromeに複数の脆弱性
【4】Rakuten WiFi Pocketに認証不備の脆弱性
【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
情報源
https://jvn.jp/jp/JVN86484824/

概要
シンクグラフィカが提供するメールフォームプロCGIには、正規表現を用いたサービス運用妨害（ReDoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.synck.com/blogs/news/newsroom/detail_1691668841.html

【2】すかいらーくアプリにアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN03447226/

概要
スマートフォンアプリ「すかいらーくアプリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://play.google.com/store/apps/details?id=jp.co.skylark.app.gusto

https://apps.apple.com/jp/app/%E3%81%99%E3%81%8B%E3%81%84%E3%82%89%E3%83%BC%E3%81%8F%E3%82%A2%E3%83%97%E3%83%AA/id906930478

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/chrome-desktop-stable-update.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】Rakuten WiFi Pocketに認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN55217369/

概要
楽天モバイル株式会社が提供するRakuten WiFi Pocketの管理画面には、認証不備の脆弱性があります。当該製品のサポートは終了しており、修正アップデートが提供される予定はありません。開発者は代替製品への移行を推奨しています。詳細は、開発者が提供する情報を確認してください。
関連文書
https://network.mobile.rakuten.co.jp/product/internet/rakuten-wifi-pocket/support/

【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN98946408/

概要
WordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.advancedcustomfields.com/blog/acf-6-1-8/

【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html

概要
2023年8月22日、JPCERT/CCはブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開しました。JPCERT/CCが7月に発生した攻撃で確認した、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニックについて、詳細とその対策を解説しています。

目　次
【1】Junos OSに複数の脆弱性
【2】Proselfに複数の脆弱性
【3】Confluence ServerおよびConfluence Data Centerにサードパーティ製品依存の脆弱性
【4】複数のCisco製品に脆弱性
【5】EC-CUBE 2系にクロスサイトスクリプティングの脆弱性
【6】Google Chromeに複数の脆弱性
【7】Pythonのurllib.parseに空白文字で始まるURLの解析が失敗する問題
【8】JPCERT/CCが「TSUBAMEレポート Overflow（2023年4-6月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Junos OSに複数の脆弱性
情報源
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US

概要
SRXシリーズおよびEXシリーズに搭載されたJunos OSには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【2】Proselfに複数の脆弱性
情報源
https://jvn.jp/jp/JVN19661362/

概要
株式会社ノースグリッドが提供するProselfには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.proself.jp/information/149/

https://www.proself.jp/information/150/

https://www.jpcert.or.jp/at/2023/at230014.html

【3】Confluence ServerおよびConfluence Data Centerにサードパーティ製品依存の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/17/atlassian-releases-security-update-confluence-server-and-data-center

概要
AtlassianはConfluence ServerおよびConfluence Data Centerにおける脆弱性に関するアドバイザリを公開しました。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/security-bulletin-august-15-2023-1276870882.html

【4】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/17/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計17件（High 5件、Medium 12件）公開しました。影響を受ける製品、バージョンなど詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【5】EC-CUBE 2系にクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN46993816/

概要
株式会社イーシーキューブが提供するEC-CUBE 2系には、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品に修正ファイルを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20230727/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【7】Pythonのurllib.parseに空白文字で始まるURLの解析が失敗する問題
情報源
https://kb.cert.org/vuls/id/127587

概要
Pythonのurllib.parseコンポーネントには、空白文字で始まるURLの解析に問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細はPython Software Foundationが提供する情報を参照してください。
関連文書
https://github.com/python/cpython/issues/102153

【8】JPCERT/CCが「TSUBAMEレポート Overflow（2023年4-6月）」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/tsubame_overflow_2023-04-06.html

概要
2023年8月16日、JPCERT/CCは「TSUBAMEレポート Overflow（2023年4-6月）」に関するブログを公開しました。2023年4-6月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202304-06.html

目　次
【1】エレコム製およびロジテック製ネットワーク機器に複数の脆弱性
【2】Citrix HypervisorおよびXenServerに複数の脆弱性
【3】複数のIntel製品に脆弱性
【4】Trend Micro Apex Centralにサーバーサイドリクエストフォージェリの脆弱性
【5】Androidアプリ「リクナビNEXT」にアクセス制限不備の脆弱性
【6】複数のアドビ製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】Fortinet製Forti OSにスタックベースのバッファーオーバーフローの脆弱性
【9】FFRI yaraiおよびFFRI yarai Home and Business Editionに例外条件の不適切な処理の脆弱性
【10】JPCERT/CCがカスタマイズ可能なマルウェア検知ツールYAMAを公開
【11】JPCERT/CCがブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】エレコム製およびロジテック製ネットワーク機器に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91630351/

概要
エレコム株式会社およびロジテック株式会社が提供するネットワーク機器には、複数の脆弱性があります。影響を受ける製品、バージョンは多岐にわたります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20230810-01/

【2】Citrix HypervisorおよびXenServerに複数の脆弱性
情報源
https://support.citrix.com/article/CTX569353/citrix-hypervisor-security-bulletin-for-cve202320569-cve202334319-and-cve202240982

概要
Citrix HypervisorおよびXenServerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU99796803/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。詳細は、Intelが提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

https://www.jpcert.or.jp/newsflash/2023080902.html

【4】Trend Micro Apex Centralにサーバーサイドリクエストフォージェリの脆弱性
情報源
https://jvn.jp/vu/JVNVU98367862/

概要
トレンドマイクロ株式会社が提供するTrend Micro Apex Centralには、サーバーサイドリクエストフォージェリの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000294212

【5】Androidアプリ「リクナビNEXT」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN84820712/

概要
株式会社リクルートが提供するAndroidアプリ「リクナビNEXT」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe AcrobatおよびReader、Adobe Commerce、Adobe Dimension、Adobe XMP Toolkit SDKが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023080901.html

https://www.jpcert.or.jp/at/2023/at230015.html

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/microsoft-releases-august-2023-security-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230016.html

https://msrc.microsoft.com/blog/2023/08/202308-security-update/

【8】Fortinet製Forti OSにスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/fortinet-releases-security-update-fortios

概要
FortinetはForti OSの複数のバージョンに関するスタックベースのバッファーオーバーフローの脆弱性についてアドバイザリを公開しました。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-149

【9】FFRI yaraiおよびFFRI yarai Home and Business Editionに例外条件の不適切な処理の脆弱性
情報源
https://jvn.jp/jp/JVN42527152/

概要
株式会社ＦＦＲＩセキュリティが提供するFFRI yaraiおよびFFRI yarai Home and Business Edition、そのOEM製品には、例外条件の不適切な処理の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ffri.jp/security-info/index.htm

https://www.soliton.co.jp/support/zerona_notice_2023.html

https://www.support.nec.co.jp/View.aspx?id=3140109240

https://www.sourcenext.com/support/i/2023/230718_01

https://www.skyseaclientview.net/news/230807_01/

【10】JPCERT/CCがカスタマイズ可能なマルウェア検知ツールYAMAを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/yama.html

概要
2023年8月9日、JPCERT/CCはカスタマイズ可能なマルウェア検知ツールYAMAを公開し、ツールの特徴や使用方法について紹介するブログを公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンの実行を可能とする、マルウェア検知をサポートするツールです。
関連文書
https://github.com/JPCERTCC/YAMA

【11】JPCERT/CCがブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/incident-disclosure-and-coordination.html

概要
2023年8月7日、JPCERT/CCはブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開しました。複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害が公表されたことを受け、JPCERT/CCが事務局として参加し、公開した「サイバー攻撃被害に係る情報の共有 公表ガイダンス」の内容に照らしながら、個別の被害公表時の情報の扱い方と、関係する組織が複数ある場合の全体のコーディネーション等について解説する内容となっています。
関連文書
https://www.jpcert.or.jp/press/2023/PR20230807_notice1.html

目　次
【1】FUJITSU Software Infrastructure Manager（ISM）に重要な情報の平文保存の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害（DoS）の脆弱性
【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害（DoS）の脆弱性
【7】オムロン製CX-Programmerに複数の脆弱性
【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FUJITSU Software Infrastructure Manager（ISM）に重要な情報の平文保存の脆弱性
情報源
https://jvn.jp/jp/JVN38847224/

概要
富士通株式会社が提供するFUJITSU Software Infrastructure Manager（ISM）には、重要な情報の平文保存の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/software/infrastructure-software/infrastructure-software/serverviewism/enhancement/v280-061/

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/02/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/

【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/jp/JVN61337171/

概要
セイコーエプソン株式会社が提供するプリンターのWeb Configには、サービス運用妨害（DoS）の脆弱性があります。この問題に関して、ファームウェア提供予定はないとし、ワークアラウンドの適用を強く推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.epson.jp/support/misc_t/230802_oshirase.htm

【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
情報源
https://jvn.jp/vu/JVNVU98291788/

概要
OpenSSLのDH_check()関数には、非常に大きな係数を使用しようとすると処理速度が遅くなる問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitのみが提供されていましたが、現地時間2023年8月1日に本脆弱性を修正したバージョンのOpenSSLがリリースされています。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230731.txt

https://jvn.jp/vu/JVNVU95617114/

【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU92193064/

概要
オムロン株式会社が提供するCJシリーズおよびCS/CJシリーズのEtherNet/IPユニットには、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-006_ja.pdf

【7】オムロン製CX-Programmerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93286117/

概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-005_ja.pdf

【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230803.html

概要
2023年8月3日、独立行政法人情報処理推進機構（IPA）は「夏休みにおける情報セキュリティに関する注意喚起」を公開しました。長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策などが案内されています。

【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html

概要
2023年8月1日、独立行政法人情報処理推進機構（IPA）は「インターネット境界に設置された装置に対するサイバー攻撃について」と題して注意喚起を公開しました。昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ攻撃に利用されているとし、一般的な対策や最近の動向などが紹介されています。

【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230014.html

概要
2023年7月20日から、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」の認証バイパスおよびリモートコード実行の脆弱性に関する情報を公開しています。すでに多くの利用組織が本件の調査や対応を進めている状況であると認識していますが、まだ本件を確認できていない利用組織が存在している可能性を危惧し、8月1日にJPCERT/CCは注意喚起を公開し、本製品の販売や提供、運用や保守などを行う利用組織に対しても問題の認識や調査、対策実施を呼びかけることにいたしました。
関連文書
https://www.proself.jp/information/149/

https://www.proself.jp/information/150/

目　次
【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX（CCRX）に複数の脆弱性
【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
【3】複数のApple製品に脆弱性
【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
【5】複数のVMware製品に脆弱性
【6】Thunderbirdに複数の脆弱性
【7】Ivanti Endpoint Manager Mobile（旧: MobileIron Core）に脆弱性
【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
【9】申請人プログラムにXML外部実体参照（XXE）に関する脆弱性
【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX（CCRX）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98785541/

概要
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターのWebインタフェースであるCommand Center RX（CCRX）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートを適用するまでの間、信頼できない第三者からのアクセスを防ぐための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.kyoceradocumentsolutions.com/en/our-business/security/information/2023-07-14.html

【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
情報源
https://jvn.jp/jp/JVN95727578/

概要
富士通株式会社が提供するリアルタイム映像伝送装置「IPシリーズ」には、ハードコードされた認証情報の使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。脆弱性の影響を軽減するための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/ip-01/

【3】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/25/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023071101.html

【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
情報源
https://jvn.jp/vu/JVNVU96643580/

概要
富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-Mシリーズには、認証回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートが提供されない製品については、回避策を適用することで、本脆弱性の影響を軽減することが可能です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/fjlan-01/

【5】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0016.html

概要
複数のVMware製品には、脆弱性があります。VMware Tanzu Application Service for VMsおよびIsolation Segmentが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】Thunderbirdに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2023-27/

概要
Thundurbirdには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。

【7】Ivanti Endpoint Manager Mobile（旧: MobileIron Core）に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/24/ivanti-releases-security-updates-endpoint-manager-mobile-epmm-cve-2023-35078

概要
Ivantiが提供するIvanti Endpoint Manager Mobile（旧: MobileIron Core）には、複数の脆弱性があります。この問題は、当該製品に修正済みのパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability

https://www.cisa.gov/news-events/alerts/2023/07/28/ivanti-releases-security-updates-epmm-address-cve-2023-35081

https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write

【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
情報源
https://jvn.jp/vu/JVNVU93384719/

概要
トレンドマイクロ株式会社から、ウイルスバスタークラウド向けのアップデートが公開されました。トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。アップデートは自動的に配信・適用されるとのことです。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11410

【9】申請人プログラムにXML外部実体参照（XXE）に関する脆弱性
情報源
https://jvn.jp/jp/JVN37857022/

概要
法務省が提供する申請人プログラムには、XML外部実体参照（XXE）に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.moj.go.jp/MINJI/minji06_00002.html

【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
情報源
https://www.antiphishing.jp/report/wg/authentication_20230721.html

概要
フィッシング対策協議会の認証方法調査・推進ワーキンググループは、フィッシング対策と関連の高いインターネットサービスの利用者認証についての2020年に実施した利用者へアンケート調査の追跡調査を行い、その調査結果を報告書として公開しました。