Nov 14, 2022

Known Exploited Vulnerabilities Catalog 10/28, 11/08

CVE-2022-3723              Google  Chromium V8 Engine

Google Chromium V8 Type Confusion Vulnerability

2022-10-28

Google Chromium V8 contains a type confusion vulnerability. Specific impacts from exploitation are not available at this time.

Google Chromium V8 には、型崩れの脆弱性が存在します。この脆弱性を利用した具体的な影響について、現時点ではご提供できません。

Apply updates per vendor instructions by 2022-11-18.

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html

 

----------------------------------------------------

CVE-2022-41091            Microsoft           Windows

Microsoft Windows Mark of the Web (MOTW) Security Feature Bypass Vulnerability

2022-11-08

Microsoft Windows Mark of the Web (MOTW) contains a security feature bypass vulnerability resulting in a limited loss of integrity and availability of security features.

Microsoft Windows Mark of the Web (MOTW) には、セキュリティ機能をバイパスする脆弱性があり、セキュリティ機能の完全性と可用性が限定的に損なわれます。             

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41091

 

CVE-2022-41073            Microsoft           Windows

Microsoft Windows Print Spooler Privilege Escalation Vulnerability

2022-11-08

Microsoft Windows Print Spooler contains an unspecified vulnerability which allows an attacker to gain SYSTEM-level privileges.

Microsoft Windows Print Spooler には、攻撃者が SYSTEM レベルの特権を獲得することができる、未詳の脆弱性が存在します。

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41073


Taro's Note: 
It's again! Print Spooler! I think it's another choice to stop Print Spooler (for your private PC and some servers).

またもプリントスプーラ! プリントスプーラを止めるというのも一つの選択だと思います(個人PCと一部のサーバー向け)。

 

CVE-2022-41125            Microsoft           Windows

Microsoft Windows CNG Key Isolation Service Privilege Escalation Vulnerability

2022-11-08

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service contains an unspecified vulnerability which allows an attacker to gain SYSTEM-level privileges.

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service には、攻撃者が SYSTEM レベルの特権を獲得することができる、未確認の脆弱性があります。

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41125

 

CVE-2022-41128            Microsoft           Windows

Microsoft Windows Scripting Languages Remote Code Execution Vulnerability

2022-11-08

Microsoft Windows contains an unspecified vulnerability in the JScript9 scripting language which allows for remote code execution.

Microsoft Windows には、スクリプト言語 JScript9 に、リモートでコードを実行される可能性のある未詳な脆弱性が存在します。

Apply updates per vendor instructions by 2022-11-29

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

 

----------------------------------------------------

CVE-2021-25337            Samsung           Mobile Devices

Samsung Mobile Devices Improper Access Control Vulnerability

2022-11-08

Samsung mobile devices contain an improper access control vulnerability in clipboard service which allows untrusted applications to read or write arbitrary files. This vulnerability was chained with CVE-2021-25369 and CVE-2021-25370.

Samsung モバイルデバイスには、クリップボードサービスにおける不適切なアクセス制御の脆弱性が存在し、信頼できないアプリケーションが任意のファイルを読み書きすることが可能です。この脆弱性は、CVE-2021-25369 および CVE-2021-25370 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb

 

CVE-2021-25369            Samsung           Mobile Devices             

Samsung Mobile Devices Improper Access Control Vulnerability

2022-11-08

Samsung mobile devices using Mali GPU contains an improper access control vulnerability in sec_log file. Exploitation of the vulnerability exposes sensitive kernel information to the userspace. This vulnerability was chained with CVE-2021-25337 and CVE-2021-25370.

Samsung 社のモバイル機器に搭載されている Mali GPU には、sec_log ファイルに不適切なアクセス制御の脆弱性が存在します。この脆弱性を利用されると、カーネルの機密情報がユーザー空間に公開されます。本脆弱性は、CVE-2021-25337 および CVE-2021-25370 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb

 

CVE-2021-25370            Samsung           Mobile Devices

Samsung Mobile Devices Memory Corruption Vulnerability

2022-11-08

Samsung mobile devices using Mali GPU contain an incorrect implementation handling file descriptor in dpu driver. This incorrect implementation results in memory corruption, leading to kernel panic. This vulnerability was chained with CVE-2021-25337 and CVE-2021-25369.

Samsung 社のモバイルデバイスで Mali GPU を使用している場合、dpu ドライバのファイル記述子の処理に不正な実装が含まれています。この不適切な実装により、メモリが破壊され、カーネルパニックに陥ります。この脆弱性は、CVE-2021-25337 および CVE-2021-25369 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb