Movatterモバイル変換

blogs:
cles::blog
NP_cles()

»ArchiveList (Tag for "cve"

)

«Prev ||1 ·2 ·3 ·4 ·5 ·6 ·7 ·|Next»

2023/04/12

Windows Update の日（ 2023 年 4 月）

windowsupdate

jpcertcc

cve

今日は月例のWindows Update の日でした。
新年度になって初めての Winodws Update の日ということで、学校や会社のネットワークが少し重いというところも多そうです。

このうちCVE-2023-28252 については既に悪用の事実が確認されているため早急な対応が必要です。

† 参考

2023年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起

at 13:18 |

2023/03/15

Windows Update の日 ( 2023 年 3 月 )

windowsupdate

jpcertcc

cve

今月も Windows Update の日がやってきました。

先月に続いて今月も以下の 2 つについてはすでに悪用の事実が確認されているので、早急なアップデートが必要です。

† 参考

2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起

at 12:39 |

2022/12/14

Windows Update の日（ 2022 年 12 月）

windowsupdate

jpcertcc

cve

今年最後の Winodws Update の日になりました。

今回の更新に含まれている脆弱性のうちCVE-2022-44698 については既に悪用が確認されているので、以下の MS のアドバイスにもあるとおり早急に適用を行った方が良さそうです。

2022 年 12 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。

† 参考

at 12:59 |

2022/10/12

Windows Update の日 ( 2022 年 10 月 )

windowsupdate

jpcertcc

cve

今月もWindows Update の日が来ていました。

CVE-2022-41033^*1^*2については、MS が悪用の事実を確認済みとしているので、早急なパッチ当てが必要です。

^*1:CVE-2022-41033 - セキュリティ更新プログラムガイド - Microsoft - Windows COM + イベントシステムサービスの特権の昇格の脆弱性

^*2:Microsoft 製品の脆弱性対策について(2022年10月)：IPA 独立行政法人情報処理推進機構

at 12:55 |

2022/07/13

Windows Update の日（ 2022 年 7 月）

windowsupdate

cve

jpcertcc

引越ししてから初めてのWindows Update の日でした。
CVE-2022-22047 については既に悪用が確認されているので、いつも通り早めの適用を心がけたいところです。

at 22:48 |

2022/04/22

Java SE の脆弱性に注意（CVE-2022-21449）

java

cve

jpcertcc

Java SE の脆弱性 CVE-2022-21449 について JPCERT/CC のアドバイザリが更新されていたのでメモ。

問題になっているのは ECDSA の署名のアルゴリズムでゼロのチェックが抜けていた^*1というもので、これによってどんな場合でも署名検証が成功するようになってしまうみたいですね。

いずれにせよ、Java 使っている場合には早めにパッチ適用が必要そうです。

2022年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起

脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が指摘されています。詳細および最新の情報については、Oracle Corporationや脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してください。

† 参考

^*1:CVE-2022-21449: Psychic Signatures in Java – Neil Madden

at 19:03 |

2021/10/09

Apache httpd の脆弱性に注意（CVE-2021-42013）

httpd24

cve

Apache httpd 2.4.50 のリリースから数日しか経っていませんが、2.4.51 がリリースされました。

前回のパストラバーサルの問題の修正が不十分だったようです。
この脆弱性を報告したのは IIJ のチームのようで、以下に詳しい技術的な解説があります。

Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性（CVE-2021-42013）の発見 – wizSafe Security Signal -安心・安全への道標- IIJ

at 09:39 |

2021/10/06

Apache httpd の脆弱性に注意（CVE-2021-41524, CVE-2021-41773）

httpd24

cve

Apache httpd に脆弱性が見つかり~~2.4.50 がリリースされました~~（さらに修正版の2.4.51 がリリースされています）。
クリティカルなセキュリティ修正としてパストラバーサルの脆弱性（CVE-2021-41773）が含まれているので、早急にアップデートした方が良さそうです。

at 19:55 |

2021/09/15

Windows Update の日（ 2021 年 9 月）

windowsupdate

cve

jpcertcc

Windows Update の日が来ていたのでメモ。

今回のアップデートには既に悪用が確認されているスプーラーの問題^*1やMSHTML の問題^*2に対する内容が含まれているので、すぐに適用を行う必要があります。

^*1:CVE-2021-36958 - セキュリティ更新プログラムガイド - Microsoft - Windows 印刷スプーラーのリモートでコードが実行される脆弱性

^*2:CVE-2021-40444 - セキュリティ更新プログラムガイド - Microsoft - Microsoft MSHTML のリモートでコードが実行される脆弱性

at 20:03 |

2021/09/05

9月末から cve.mitre.org が cve.org に

cve

脆弱性情報を集約している CVE のサイトの URL がcve.mitre.org からcve.org に変更になるようなのでメモ。
忘れていると痛い目にあいそうなので、購読している RSS の URL とかチェックしておこうと思います。

【注意】CVE Website（CVE.MITRE.ORG)のアドレス変更(CVE.ORGへの移行)について - security.sios.com

2021/09/02のMITREのニュースに載っていますが、CVEのWebアドレスが"CVE.MITRE.ORG"から"CVE.ORG"に変更になるそうです。
9月末から移行が始まり、1年間を掛けて移行されるようです。移行期間中はCVE.MITRE.ORGとCVE.ORGは同時に更新されますが、最終的にはCVE.ORGへの移行になります。

at 15:38 |

«Prev ||1 ·2 ·3 ·4 ·5 ·6 ·7 ·|Next»

»ArchiveList (Tag for "cve"

)

サイト内検索

検索ワードランキング