You Need to Update Google Chrome, Windows, and Zoom Right Now
Google Chrome、Windows、Zoomを今すぐアップデートする必要があります。
要約(英語):
Apple has fixed 84 security vulnerabilities in its operating system, including a kernel vulnerability that could allow an application to execute code with kernel privileges. Of the 84 vulnerabilities, 13 are rated as critical, and one is being used in attacks. Notably absent from the patch Tuesday update was a fix for two actively exploited bugs known as ProxyNotShell and CVE-2022-41040. The flaw could be chained with other exploits to take over someone’s machine.
要約(日本語):
Appleは、オペレーティングシステムの84のセキュリティの脆弱性を修正しました。これには、アプリケーションがカーネル特権を使用してコードを実行できるカーネルの脆弱性が含まれます。84の脆弱性のうち、13は重要であると評価されており、1つは攻撃で使用されています。パッチの火曜日の更新は、特にProxynotshellとCVE-2022-41040として知られる2つのアクティブに悪用されたバグの修正でした。欠陥は、誰かのマシンを引き継ぐために他のエクスプロイトと一緒に連鎖する可能性があります。
本文:
Kate O’Flaherty Updates have continued to be released thick and fast in October, with patches now available from the likes of Apple for iOS, Google Chrome, Android, and, of course, Microsoft in its monthly Patch Tuesday. That’s in addition to updates to fix issues in Zoom, Cisco, VMWare, and SAP products.
Kate O’Flahertyの更新は、10月に厚くて高速でリリースされ続けており、Apple for iOS、Google Chrome、Android、そしてもちろん、火曜日のマイクロソフトでMicrosoftのようなパッチが利用可能になりました。これは、Zoom、Cisco、VMware、およびSAP製品の問題を修正するための更新に加えています。
Here are the details about all the important patches issued in October.
10月に発行されたすべての重要なパッチの詳細を以下に示します。
October saw the release of two iOS 16 versions following the launch of the iPhone maker’s updated operating system in September. First came iOS 16.0.3, which fixed some teething issues, including several bugs as well as a security flaw in Mail that could allow denial of service attacks.
10月には、9月にiPhoneメーカーの更新されたオペレーティングシステムが発売された後、2つのiOS 16バージョンがリリースされました。最初にiOS 16.0.3が登場しました。これは、いくつかのバグや、サービス拒否を可能にする可能性のあるメールのセキュリティ上の欠陥を含むいくつかの歯が生える問題を修正しました。
Only weeks later, Apple released iOS 16.1 and iPadOS 16—the latter of which was delayed to coincide with the launch of the latest iPad models. The latest iOS versions come with a much longer list of security fixes and include an already exploited flaw.
わずか数週間後、AppleはiOS 16.1とiPados 16をリリースしました。後者は最新のiPadモデルの発売と一致するように遅れました。最新のiOSバージョンには、セキュリティ修正のはるかに長いリストが付属しており、既に悪用された欠陥が含まれています。
Featured Video Tracked as CVE-2022-42827, the kernel vulnerability could allow an application to execute code with kernel privileges, according to Apple’s support page. The operating system update fixes 20 vulnerabilities in total, including three in the kernel at the heart of the iPhone’s operating system. Meanwhile, iOS 16.1 fixes four flaws in WebKit, the engine that powers the Safari browser, two of which could lead to code execution if exploited.
CVE-2022-42827として追跡された特集ビデオでは、Appleのサポートページによると、カーネルの脆弱性により、アプリケーションがカーネル特権を使用してコードを実行できるようになりました。オペレーティングシステムの更新では、iPhoneのオペレーティングシステムの中心にあるカーネルの3つを含む、合計20の脆弱性を修正します。一方、iOS 16.1は、Safariブラウザーに動力を供給するエンジンであるWebKitに4つの欠陥を修正します。
Apple has also released iOS 15.7.1 and iPadOS 15.7.1 which fix the already exploited kernel flaw.
Appleはまた、iOS 15.7.1およびiPados 15.7.1をリリースし、すでに悪用されているカーネルの欠陥を修正しました。
Given the seriousness of the issues and the lack of detail provided, it’s a good idea to update to iOS 16.1 or iOS 15.7.1 as soon as possible.
問題の深刻さと提供された詳細の欠如を考えると、できるだけ早くiOS 16.1またはiOS 15.7.1に更新することをお勧めします。
Patch Tuesday has once again arrived along with fixes for a rather hefty list of 84 flaws. Of these, 13 are rated as critical, and one is being used in attacks. Tracked as CVE-2022-41033, the elevation of privilege vulnerability in Windows COM+ Event System Service impacts almost every version of Windows. The flaw is serious, as it could be chained with other exploits to take over someone’s machine.
パッチ火曜日は、84の欠陥のかなり多額のリストの修正とともに再び到着しました。これらのうち、13は重要であると評価されており、1つは攻撃で使用されています。CVE-2022-41033として追跡され、Windows COM+イベントシステムサービスの特権脆弱性の高さは、ほぼすべてのバージョンのWindowsに影響を与えます。欠陥は深刻です。他のエクスプロイトと一緒に連鎖して誰かのマシンを引き継ぐことができるからです。
Notably absent from the Patch Tuesday updates was a fix for two actively exploited bugs tracked as CVE-2022-41040 and CVE-2022-41082, known as ProxyNotShell. The flaws were reported to Microsoft by security vendor GTSC. Microsoft has shared mitigations, but researchers warn they can be bypassed.
火曜日のパッチに特に存在しないことは、Proxynotshellとして知られているCVE-2022-41040およびCVE-2022-41082として追跡される2つの積極的に活用されたバグの修正でした。この欠陥は、セキュリティベンダーGTSCによってMicrosoftに報告されました。Microsoftは軽減を共有していますが、研究者はバイパスできると警告しています。
October saw another emergency update for Google Chrome users, with the browser maker issuing a fix for a type confusion flaw in the V8 JavaScript engine tracked as CVE-2022-3723. The issue was patched within days of being reported by Avast researchers, which is indicative of how serious it is: The flaw could be exploited to execute code and gain control of the system. Google said it is “aware of reports that an exploit for CVE-2022-3723 exists in the wild.” Earlier in the month, Google released Chrome 106, patching six vulnerabilities ranked as high-severity. Notable flaws include CVE-2022-3445, a use-after-free bug in Skia, the open source 2D graphics library that serves as the graphics engine for Google Chrome.
10月には、Google Chromeユーザー向けの別の緊急更新が行われ、ブラウザメーカーはCVE-2022-3723として追跡されたV8 JavaScriptエンジンのタイプの混乱欠陥の修正を発行しました。この問題は、アバスト研究者によって報告されてから数日以内にパッチされました。これは、それがどれほど深刻かを示しています。これは、コードを実行してシステムの制御を獲得するために欠陥を悪用する可能性があります。Googleは、「CVE-2022-3723のエクスプロイトが野生に存在するという報告を認識している」と述べた。月の初めに、GoogleはChrome 106をリリースし、6つの脆弱性にパッチを適用して、高経験としてランク付けされました。注目すべき欠陥には、Google Chromeのグラフィックエンジンとして機能するオープンソース2DグラフィックライブラリであるSkiaでの無用なバグであるCVE-2022-3445が含まれます。
Boone Ashworth Matt Burgess Matt Jancer Khari Johnson Other issues fixed in October are a heap buffer overflow in WebSQL tracked as CVE-2022-3446 and a use-after-free bug in Permissions API tracked as CVE-2022-3448, Google wrote in its blog. Google also fixed two use-after-free bugs in Safe Browsing and in Peer Connection.
ブーン・アシュワース・マット・バージェス・マット・ジャンサー・カリ・ジョンソン10月に修正されたその他の問題は、CVE-2022-3446として追跡されるWebSQLのヒープバッファーオーバーフローであり、CVE-2022-3448として追跡される権限APIの無駄なバグで、Googleは書きました。ブログ。Googleはまた、安全なブラウジングとピア接続の2つの無用なバグを修正しました。
The Android Security Bulletin for October includes fixes for 15 flaws in the Framework and System and 33 issues in the kernel and vendor components. One of the most concerning issues is a critical security vulnerability in the Framework component that could lead to local escalation of privilege, tracked as CVE-2022-20419. Meanwhile, a flaw in the Kernel could also lead to local escalation of privilege with no additional execution privileges needed.
10月のAndroidセキュリティ速報には、フレームワークとシステムの15の欠陥の修正と、カーネルおよびベンダーコンポーネントの33の問題が含まれます。最も懸念される問題の1つは、CVE-2022-20419として追跡される特権の局所エスカレーションにつながる可能性のあるフレームワークコンポーネントの重要なセキュリティの脆弱性です。一方、カーネルの欠陥は、追加の実行特権を必要とせずに、特権の局所的なエスカレーションにつながる可能性もあります。
None of the issues are known to have been used in attacks, but it still makes sense to check your device and update it when you can. Google has issued the update to its Pixel devices and it’s also available for the Samsung Galaxy S21 and S22 series smartphones and Galaxy S21 FE.
攻撃で使用されていることが知られていない問題はありませんが、デバイスをチェックして可能な場合は更新することはまだ理にかなっています。GoogleはPixelデバイスのアップデートを発行しました。SamsungGalaxyS21およびS22シリーズのスマートフォンとGalaxy S21 FEでも利用できます。
Cisco has urged companies to patch two flaws in its AnyConnect Secure Mobility Client for Windows after it was confirmed the vulnerabilities are being used in attacks. Tracked as CVE-2020-3433, the first could allow an attacker with valid credentials on Windows to execute code on the affected machine with system privileges.
Ciscoは、攻撃で脆弱性が使用されていることが確認された後、Windows用のAnyConnect Secure Mobilityクライアントの2つの欠陥をパッチするよう企業に促しています。CVE-2020-3433として追跡された最初の人は、Windows上の有効な資格情報を持つ攻撃者が、システム特権を使用して影響を受けたマシンでコードを実行できるようにすることができます。
Meanwhile, CVE-2020-3153 could allow an attacker with valid Windows credentials to copy malicious files to arbitrary locations with system-level privileges.
一方、CVE-2020-3153は、有効なWindows資格情報を持つ攻撃者が、システムレベルの特権を持つ任意の場所に悪意のあるファイルをコピーできるようにすることができます。
The US Cybersecurity and Infrastructure Security Agency has added the Cisco flaws to its already exploited vulnerabilities catalog.
米国のサイバーセキュリティおよびインフラストラクチャセキュリティ局は、すでに悪用された脆弱性カタログにシスコの欠陥を追加しました。
While both the Cisco flaws require the attacker to be authenticated, it’s still important to update now.
両方のCiscoの欠陥は攻撃者の認証を必要としますが、今すぐ更新することが重要です。
Video conferencing service Zoom patched several issues in October, including a flaw in its Zoom client for meetings, which is marked as having a high severity with a CVSS Score of 8.8. Zoom says versions before version 5.12.2 are susceptible to a URL-parsing vulnerability tracked as CVE-2022-28763.
ビデオ会議サービスズームは、10月にいくつかの問題にパッチを適用しました。これには、CVSSスコアが8.8の重大度が高いとマークされているズームクライアントの欠陥が含まれます。Zoomによると、バージョン5.12.2の前にバージョンは、CVE-2022-28763として追跡されるURLの違反の脆弱性の影響を受けやすいと述べています。
“If a malicious Zoom meeting URL is opened, the link may direct the user to connect to an arbitrary network address, leading to additional attacks including session takeovers,” Zoom said in a security bulletin.
「悪意のあるズーム会議URLが開かれた場合、リンクはユーザーに任意のネットワークアドレスに接続するように指示し、セッションの買収を含む追加の攻撃につながる可能性があります」とズームはセキュリティ速報で述べました。
Earlier in the month, Zoom alerted users that its client for meetings for macOS starting with 5.10.6 and prior to 5.12.0 contained a debugging port misconfiguration.
月の初めに、Zoomはユーザーに、5.10.6から始まり、5.12.0より前のMacOSの会議のクライアントがデバッグポートの誤解を含んでいたことを警告しました。
Software giant VMWare has patched a serious vulnerability in its Cloud Foundation Tracked as CVE-2021-39144. The remote code execution vulnerability via XStream open source library is rated as having a critical severity with a maximum CVSSv3 base score of 9.8. “Due to an unauthenticated endpoint that leverages XStream for input serialization in VMware Cloud Foundation, a malicious actor can get remote code execution in the context of ‘root’ on the appliance,” VMWare said in an advisory.
Software Giant VMwareは、CVE-2021-39144として追跡されるクラウドファンデーションの深刻な脆弱性にパッチを当てています。XStream Open Sourceライブラリを介したリモートコード実行の脆弱性は、最大CVSSV3ベーススコアが9.8の重大度を持つと評価されています。「VMware Cloud Foundationで入力シリアル化のためにXSTREAMを活用する認知度のないエンドポイントにより、悪意のあるアクターはアプライアンスの「ルート」のコンテキストでリモートコード実行を取得できます」とVMwareはアドバイザリーで述べました。
The VMware Cloud Foundation update also addresses an XML External Entity vulnerability with a lesser CVSSv3 base score of 5.3. Tracked as CVE-2022-31678, the bug could allow an unauthenticated user to perform denial of service.
VMware Cloud Foundationアップデートは、CVSSV3ベーススコアが5.3のXML外部エンティルの脆弱性にも対応しています。CVE-2022-31678として追跡されるバグにより、認可されていないユーザーがサービス拒否を実行できるようになりました。
Software firm Zimbra has issued patches to fix an already-exploited code execution flaw that could allow an attacker to access user accounts. The issue, tracked as CVE-2022-41352, has a CVSS severity score of 9.8.
ソフトウェア会社のZimbraは、攻撃者がユーザーアカウントにアクセスできるようにする既に露出度のコード実行欠陥を修正するためのパッチを発行しました。CVE-2022-41352として追跡されるこの問題のCVSS重症度スコアは9.8です。
Exploitation was spotted by Rapid7 researchers, who identified signs it had been used in attacks. Zimbra initially released a workaround to fix it, but now the patch is available, you should apply it ASAP.
搾取は、攻撃で使用されていた兆候を特定したRapid7の研究者によって発見されました。Zimbraは最初に回避策をリリースして修正しましたが、パッチが利用可能になりました。できるだけ早く適用する必要があります。
Enterprise software firm SAP has published 23 new and updated Security Notes in its October Patch Day. Among the most serious issues is a critical Path Traversal vulnerability in SAP Manufacturing Execution. The vulnerability affects two plugins: Work Instruction Viewer and Visual Test and Repair and has a CVSS score of 9.9.
エンタープライズソフトウェア会社SAPは、10月のパッチデーに23の新規および更新されたセキュリティノートを公開しました。最も深刻な問題の中には、SAP製造の実行における重要な経路走行脆弱性があります。脆弱性は、作業命令の視聴者と視覚テストと修理の2つのプラグインに影響し、CVSSスコアは9.9です。
Another issue with a CVSS score of 9.6 is an account hijacking vulnerability in the SAP Commerce login page.
9.6のCVSSスコアのもう1つの問題は、SAP Commerceログインページの脆弱性をハイジャックするアカウントです。
Software giant Oracle has released a whopping 370 patches as part of its quarterly security update. Oracle’s Critical Patch Update for October fixes 50 vulnerabilities rated as critical.
Software Giant Oracleは、四半期ごとのセキュリティアップデートの一環として、なんと370パッチをリリースしました。Oracleの10月の重要なパッチアップデートは、重要であると評価された50の脆弱性を修正します。
The update contains 37 new security patches for Oracle MySQL, 11 of which may be remotely exploitable without authentication. It also contains 24 new security patches for Oracle Financial Services Applications, 16 of which may be remotely exploitable without authentication.
このアップデートには、Oracle MySQLの37の新しいセキュリティパッチが含まれており、そのうち11は認証なしでリモートで搾取可能です。また、Oracle Financial Servicesアプリケーション向けの24の新しいセキュリティパッチが含まれており、そのうち16は認証なしで遠隔的に悪用される場合があります。
Due to “the threat posed by a successful attack,” Oracle “strongly recommends” that customers apply Critical Patch Update security patches as soon as possible.
「攻撃の成功によってもたらされる脅威」のため、Oracleは、顧客が重要なパッチ更新セキュリティパッチをできるだけ早く適用することを「強く推奨」しています。
