2022年7月のセキュリティホール・脆弱性のニュース記事一覧 | 脆弱性と脅威

脅威動向 2022.7.28 Thu 8:15

イエラエ CSIRT支援室第 29 回 TypeFilterLevelがLowで、MarshalByRefインターフェイスを持たない.NET Remotingのエクスプロイト

2020 年、.NET Remoting に関連するいくつかのバグが Microsoft に報告されました。そのうちの 1 つが、BinaryServerFormatterSink::ProcessMessage関数における DoSバグです。

セキュリティホール・脆弱性 2022.7.28 Thu 8:00

Android アプリ「Hulu」に外部サービスの API キーがハードコードされている問題

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月27日、Android アプリ「Hulu」に外部サービスの API キーがハードコードされている問題について「Japan Vulnerability Notes（JVN）」で発表した。

TheRegister 2022.7.27 Wed 8:10

データ強盗に遭った英大手人材紹介会社、外部開発者を「認証情報を不適切に保存」と非難

　イギリスの人材紹介会社モーガン・ハントについては、悪いニュースが続いている。登録されているフリーランサーの個人情報の一部がデジタル強盗によって持ち去られたことが確認された。

セキュリティホール・脆弱性 2022.7.27 Wed 8:00

WordPress 用プラグイン Newsletter にXSSの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月25日、WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2022.7.27 Wed 8:00

untangle に複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月25日、untangle における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2022.7.25 Mon 8:00

Oracle Java に攻撃された際の影響が大きい脆弱性、早急な修正プログラム適用を呼びかけ

　独立行政法人情報処理推進機構（IPA）は7月20日、Oracle Java の脆弱性について発表した。影響を受けるシステムは以下の通り。

TheRegister 2022.7.21 Thu 8:15

政府向けスパイウェア販売時に製造元企業が行う販売先国家の「採点」方法～五ヶ国超のＥＵ圏顧客の存在を認める

　NSOグループが先週、同社の悪名高いスパイウェアである「Pegasus」を利用している顧客の数は「50 組に満たない」と欧州議会で発言した。しかし、その顧客の中に「5か国を超える」EU の国々が含まれているとも同社は述べたのだった。

セキュリティホール・脆弱性 2022.7.21 Thu 8:00

任天堂、Wi-Fi USBコネクタとWi-Fiネットワークアダプタの使用中止を呼びかけ

「ニンテンドーWi-Fi USBコネクタ」および「ニンテンドーWi-Fiネットワークアダプタ」に対して、任天堂が使用中止を呼びかけ。

セキュリティホール・脆弱性 2022.7.21 Thu 8:00

なぜSSL-VPNの脆弱性が放置されるのか～日本で「サプライチェーン攻撃」が意味するもの

JPCERT/CCは「JPCERT/CC Eyes」に「なぜ、SSL-VPN製品の脆弱性は放置されるのか～“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について～」を公開した。

セキュリティホール・脆弱性 2022.7.19 Tue 8:00

Windows DNSサーバーにリモートでコードが実行される脆弱性

　株式会社日本レジストリサービス（JPRS）は7月15日、Windows DNSサーバーにおけるリモートでコードが実行される脆弱性（CVE-2022-30214）が公開されたと発表した。

セキュリティホール・脆弱性 2022.7.15 Fri 8:00

マイクロソフトが7月のセキュリティ情報公開、Windows CSRSS の特権の昇格は悪用の事実を確認済み

独立行政法人情報処理推進機構（IPA）は7月13日、「Microsoft 製品の脆弱性対策について(2022年7月)」を発表した。

新製品・新サービス 2022.7.14 Thu 8:15

イエラエ CSIRT支援室第 28 回ペネトレーションテスト「OSINTとは」後篇

OSINT は、ダークウェブに潜るとかではなく、普通に世の中に出回っている情報を収集し、連携させて、タグ付けすると攻撃者にとって有効な情報になるという話と言えます。

セキュリティホール・脆弱性 2022.7.14 Thu 8:00

Django の Extract 関数および Trunc 関数にSQLインジェクションの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月12日、Django の Extract 関数および Trunc 関数における SQLインジェクションの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

TheRegister 2022.7.12 Tue 8:10

Okta はいかにしてゼロトラストでハッカー集団 Lapsus$ 封じ込めに成功したか

　Okta は、ハッカー集団Lapsus$ のメンバーが一部の顧客情報を盗み見ていた 2022 年 3 月のインシデントに関する分析を完了し、ゼロトラスト手法の導入によって攻撃の完遂を防ぐことができたと結論付けた。

脅威動向 2022.7.8 Fri 8:15

超大型情報流出案件か／10年未認知だったAPT／大学生が窃取資料翻訳／ディープフェイク採用面接ほか [Scan PREMIUM Monthly Executive Summary]

今月は、30 日に中国で超大型の情報流出事件の可能性が指摘されています。これは、ChinaDan を名乗るハッカーが、流出情報売買サイトにおいて、上海市の警察当局のデータベースから窃取したとする約 10 億人分のデータを売りに出した事件です。

セキュリティホール・脆弱性 2022.7.8 Fri 8:00

OpenSSLに複数の脆弱性、アップデートを呼びかけ

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月6日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムと脆弱性は以下の通り。

エクスプロイト 2022.7.7 Thu 8:10

Microsoft Windows において DiagnosticProfile COM オブジェクトを悪用して UAC を回避し特権ディレクトリに任意のファイルを作成する手法（Scan Tech Report）

2022 年 6 月に、Microsoft Windows OS に、UAC による権限制御が回避可能となる手法が公開されています。

セキュリティホール・脆弱性 2022.7.6 Wed 8:00

キヤノン製オフィス向けプリンターに脆弱性、対象は多岐に

キヤノンおよびキヤノンマーケティングジャパンは、キヤノン製のオフィス・スモールオフィス向け各種プリンターに確認された脆弱性について、情報を更新した。

TheRegister 2022.7.5 Tue 8:10

純粋恐喝時代に突入、暗号化しないランサムウェア

　最近、米国と欧州の警察、検察、NGO はハーグで 2 日間のワークショップを開催し、増大するランサムウェア被害への対処方法を議論した。

2022年7月の脆弱性と脅威 セキュリティホール・脆弱性ニュース記事一覧

イエラエ CSIRT支援室 第 29 回 TypeFilterLevelがLowで、MarshalByRefインターフェイスを持たない.NET Remotingのエクスプロイト