06/06週の脆弱性で、 High Vulnerabilitiesとされているものの中で、以下 android 4件が気になったので、メモ代わりに挙げておく。
◆google -- android
・CVE-2022-30710
CVSS Score 9.4
Improper validation vulnerability in RemoteViews prior to SMR Jun-2022 Release 1 allows attackers to launch certain activities.
SMR Jun-2022 Release 1 より前の RemoteViews に不適切な検証の脆弱性があり、攻撃者が特定の活動を開始することができます
※ ベンダ アドバイザリによると「パッチによって、特権昇格を防ぐ適切な検証ロジックが追加される」とのこと。
・CVE-2022-30711
CVSS Score 9.4
Improper validation vulnerability in RemoteViews prior to SMR Jun-2022 Release 1 allows attackers to launch certain activities.
SMR Jun-2022 Release 1 より前の RemoteViews に不適切な検証の脆弱性があり、攻撃者が特定の活動を開始することができます
※ ベンダ アドバイザリによると「パッチによって、特権昇格を防ぐ適切な検証ロジックが追加される」とのこと。
・CVE-2022-30713
CVSS Score 9.4
Improper validation vulnerability in LSOItemData prior to SMR Jun-2022 Release 1 allows attackers to launch certain activities.
SMR Jun-2022 Release 1 より前の LSOItemData には、不適切な検証の脆弱性があり、攻撃者は特定の活動を開始することができます。
※ ベンダ アドバイザリによると「パッチによって、特権昇格を防ぐ適切な検証ロジックが追加される」とのこと。
・CVE-2022-30722
CISA Bulletin (SB22-164)によると、本件は、CVSS Score 7.5
一方、CVE-2022-30722では
NIST: NVD Base Score: 9.8 CRITICAL
CNA: Samsung Mobile Base Score: 6.2 MEDIUM
Implicit Intent hijacking vulnerability in Samsung Account prior to SMR Jun-2022 Release 1 allows attackers to bypass user confirmation of Samsung Account.
SMR Jun-2022 Release 1 以前の Samsung Account には、暗黙の Intent ハイジャックの脆弱性があり、攻撃者は Samsung Account のユーザー確認を回避することができます。
※ ベンダ アドバイザリによると「本パッチでは、非特権アプリケーションからの乗っ取りを防止するため、暗黙のIntentを明示的なIntentに変更します。」とのこと。
◆starwindsoftware -- starwind_san_\&_nas
・CVE-2022-32268
StarWind SAN and NAS v0.2 build 1914 allow remote code execution.
StarWind SAN and NAS v0.2 build 1914 は、リモートでコードが実行される可能性があります。
NIST: NVD Base Score: 7.2 HIGH
※ 似た名前の別ソフトかと思った。
No comments:
Post a Comment