6/27以降、Known Exploited Vulnerabilities Catalog (以下、KEV Catalog)に追加があったので、以下列挙しておく。
Here, it will explain the following items.
CVE
Vendor/Project – Product
Vulnerability Name Date Added to Catalog
Short Description
+ Japanese translation
Action Due Date
+ Japanese translation
"●"/"※": quotation of Base Score and/or my comments
Mitel -- MiVoice Connect
Mitel MiVoice Connect Data Validation Vulnerability 2022-06-27
Mitel MiVoice Connectのデータ検証の脆弱性 2022-06-27
The Service Appliance component in Mitel MiVoice Connect allows remote code execution due to incorrect data validation.
Mitel MiVoice Connect の Service Appliance コンポーネントは、データ検証の欠陥により、リモートでコードが実行される可能性があります。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 9.8 CRITICAL
- Ref: CVE-2022-29499 Mitel MiVoice Connect in K.E.V. Catalog
Google -- Chromium
Google Chromium Security Bypass Vulnerability 2022-06-27
Google Chromiumのセキュリティ回避の脆弱性 2022-06-27
Insufficient policy enforcement in the PopupBlocker for Chromium allows an attacker to remotely bypass security mechanisms. This vulnerability impacts web browsers using Chromium such as Chrome and Edge.
PopupBlocker for Chromium のポリシー適用が不十分なため、攻撃者がリモートでセキュリティ機構を回避することが可能です。本脆弱性は、Chrome や Edge などの Chromium を使用するウェブブラウザに影響を与えます。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- CVEを見ると、NISTのBase Scoreは 6.5 MEDIUMである。しかしながら既に、KEV Catalogに挙がっている。
- 従ってBase Score (Severity)が低めだからといって後回しに出来るとは限らない。KEVもチェックしないと、
重大なリスクを見落としたり、納期設定・ リソース配分の判断を間違えたりしそうだ。しっかり確認しよう。
Red Hat – Polkit
Red Hat Polkit Out-of-Bounds Read and Write Vulnerability 2022-06-27
Red Hat Polkit の境界外への読み書きに関する脆弱性 2022-06-27
The Red Hat polkit pkexec utility contains an out-of-bounds read and write vulnerability which allows for privilege escalation with administrative rights.
Red Hat polkit pkexec ユーティリティには、境界外からの読み取りと書き込みの脆弱性があり、管理者権限での権限昇格を許してしまいます。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 7.8 HIGH
- CVEに「This vulnerability has been modified and is currently undergoing reanalysis. Please check back soon to view the updated vulnerability summary.」とされている。Published date: 2022/01/28, Last Modified 2022/06/14
Apple -- iOS and iPadOS
Apple iOS and iPadOS Buffer Overflow Vulnerability 2022-06-27
Apple iOSおよびiPadOSのバッファオーバーフローの脆弱性 2022-06-27
Apple iOS and iPadOS contain a buffer overflow vulnerability that could allow an application to execute code with kernel privileges.
Apple iOS および iPadOS には、アプリケーションがカーネル権限でコードを実行する可能性のあるバッファオーバーフローの脆弱性が存在します。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 7.8 HIGH
Apple -- Multiple Products
Apple Multiple Products Memory Corruption Vulnerability 2022-06-27
Appleの複数製品におけるメモリ破壊の脆弱性 2022-06-27
Apple iOS, iPadOS, macOS, tvOS, and watchOS contain a memory corruption vulnerability that could allow an application to execute code with kernel privileges.
Apple iOS, iPadOS, macOS, tvOS, watchOS には、メモリ破壊の脆弱性があり、アプリケーションがカーネル権限でコードを実行される可能性があります。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 6.1 MEDIUM ←これもミディアム
- CNA: huntr.dev Base Score: 8.6 HIGH
Apple -- Multiple Products
Apple Multiple Products Memory Corruption Vulnerability 2022-06-27
Apple 複数製品のメモリ破壊の脆弱性 2022-06-27
Apple iOS, iPadOS, and tvOS contain a memory corruption vulnerability that could allow an application to execute code with kernel privileges.
Apple iOS, iPadOS, tvOS には、アプリケーションがカーネル権限でコードを実行する可能性のあるメモリ破壊の脆弱性が存在します。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 7.8 HIGH
Apple -- Multiple Products
Apple Multiple Products Use-After-Free Vulnerability 2022-06-27
Apple 複数製品のユースアフターフリーの脆弱性 2022-06-27
A use-after-free vulnerability in Apple iOS, macOS, tvOS, and watchOS could allow a malicious application to execute code with system privileges.
Apple iOS, macOS, tvOS, watchOS には、Use-after-free の脆弱性があり、悪意のあるアプリケーションによってシステム特権でコードを実行される可能性があります。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 7.8 HIGH
Apple -- Multiple Products
Apple Multiple Products Memory Corruption Vulnerability 2022-06-27
Apple 複数製品のメモリ破壊の脆弱性 2022-06-27
Apple iOS, macOS, tvOS, and watchOS contain a memory corruption vulnerability which can allow for code execution.
Apple iOS, macOS, tvOS, watchOS には、メモリ破壊の脆弱性があり、コードを実行される可能性があります。
Apply updates per vendor instructions. 2022-07-18
ベンダーの指示に従い、アップデートを適用してください。 2022-07-18
- NIST: NVD Base Score: 7.8 HIGH
Microsoft – Windows
Microsoft Windows LSA Spoofing Vulnerability 2022-07-01
Microsoft Windows LSA のなりすましの脆弱性 2022-07-01
Microsoft Windows Local Security Authority (LSA) contains a spoofing vulnerability where an attacker can coerce the domain controller to authenticate to the attacker using NTLM.
Microsoft Windows Local Security Authority (LSA) には、攻撃者が NTLM を使用して攻撃者に認証するようドメインコントローラーを強制できるスプーフィング脆弱性が存在します。
Apply remediation actions outlined in CISA guidance. 2022-07-22
CISA ガイダンスに記載されている改善策を適用してください。 2022-07-22
- NIST: NVD Base Score: 5.9 MEDIUM ←※これもミディアム
- CNA: Microsoft Corporation Base Score: 8.1 HIGH
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
←※VectorはNISTとCNAとで共通
No comments:
Post a Comment