10 月に修正されたその他の問題は、CVE-2022-3446 として追跡された WebSQL のヒープ バッファ オーバーフローと、CVE-2022-3448 として追跡された Permissions API の解放後の使用のバグです。 ブログ. Google はまた、セーフ ブラウジングとピア接続の 2 つの解放後使用バグを修正しました。
グーグルアンドロイド
の Android セキュリティ速報 10 月版には、フレームワークとシステムの 15 の欠陥と、カーネルとベンダー コンポーネントの 33 の問題の修正が含まれています。 最も懸念される問題の 1 つは、CVE-2022-20419 として追跡されている、ローカルでの権限昇格につながる可能性があるフレームワーク コンポーネントの重大なセキュリティの脆弱性です。 一方、カーネルの欠陥により、追加の実行権限を必要とせずにローカルで権限が昇格する可能性もあります。
攻撃に使用されたことが知られている問題はありませんが、デバイスを確認し、可能な場合は更新することは理にかなっています。 Google は Pixel デバイス向けのアップデートを発行しており、Samsung Galaxy S21 および S22 シリーズのスマートフォン、Galaxy S21 FE でも利用できます。
シスコ
シスコは 促した 企業は、脆弱性が攻撃に使用されていることが確認された後、Windows 用 AnyConnect セキュア モビリティ クライアントの 2 つの欠陥にパッチを適用するよう求めました。 CVE-2020-3433 として追跡されている最初のものは、Windows で有効な資格情報を持つ攻撃者が、影響を受けるマシンでシステム権限を使用してコードを実行する可能性があります。
一方、CVE-2020-3153 では、有効な Windows 資格情報を持つ攻撃者が、システム レベルの権限で悪意のあるファイルを任意の場所にコピーする可能性があります。
米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシーは、シスコの欠陥をすでに 悪用された脆弱性カタログ.
どちらの Cisco の欠陥も、攻撃者が認証される必要がありますが、今すぐ更新することが重要です。
ズーム
ビデオ会議サービスの Zoom は、10 月に複数の問題にパッチを適用しました。これには、会議用の Zoom クライアントの欠陥が含まれており、CVSS スコア 8.8 で重大度が高いとマークされています。 Zoom は、バージョン 5.12.2 より前のバージョンは、CVE-2022-28763 として追跡されている URL 解析の脆弱性の影響を受けやすいと述べています。
「悪意のある Zoom ミーティング URL が開かれると、そのリンクがユーザーを任意のネットワーク アドレスに接続するように誘導し、セッションの乗っ取りを含む追加の攻撃につながる可能性があります」と Zoom は述べています。 セキュリティ速報.
今月初め、Zoom は 5.10.6 以降および 5.12.0 より前の macOS 向けのミーティング用クライアントにデバッグ ポートの設定ミスが含まれていることをユーザーに警告しました。
VMウェア
ソフトウェア大手の VMWare は、Cloud Foundation の重大な脆弱性にパッチを適用しました
CVE-2021-39144 として追跡されます。 XStream オープン ソース ライブラリを介したリモート コード実行の脆弱性は、最大 CVSSv3 ベース スコア 9.8 の重大な重大度があると評価されています。 「VMware Cloud Foundation の入力シリアライゼーションに XStream を利用する認証されていないエンドポイントが原因で、悪意のあるアクターはアプライアンスの「ルート」のコンテキストでリモート コード実行を取得できます」と VMWare は述べています。 勧告.
VMware Cloud Foundation の更新では、XML 外部エンティティの脆弱性も解決されており、CVSSv3 の基本スコアは 5.3 に低下しています。 CVE-2022-31678 として追跡されているこのバグにより、認証されていないユーザーがサービス拒否を実行できる可能性があります。
ジンブラ
ソフトウェア会社の Zimbra は、攻撃者がユーザー アカウントにアクセスできるようにする可能性のある、既に悪用されているコード実行の欠陥を修正するパッチを発行しました。 CVE-2022-41352 として追跡されているこの問題の CVSS 重大度スコアは 9.8 です。
悪用が発見された Rapid7 攻撃に使用された兆候を特定した研究者。 Zimbra は当初、この問題を修正するための回避策をリリースしましたが、パッチが利用可能になったため、できるだけ早く適用する必要があります。
SAP
エンタープライズ ソフトウェア企業の SAP は、10 月のパッチ デーで 23 の新しいセキュリティ ノートと更新されたセキュリティ ノートを公開しました。 最も深刻な問題の 1 つは、SAP Manufacturing Execution における重大なパス トラバーサルの脆弱性です。 この脆弱性は、Work Instruction Viewer と Visual Test and Repair の 2 つのプラグインに影響を与え、CVSS スコアは 9.9 です。
CVSS スコア 9.6 のもう 1 つの問題は、SAP Commerce ログイン ページでのアカウント ハイジャックの脆弱性です。
オラクル
ソフトウェア大手の Oracle は、四半期ごとのセキュリティ アップデートの一環として、なんと 370 ものパッチをリリースしました。 オラクルの 重要なパッチの更新 10 月の修正では、重大と評価された 50 件の脆弱性が修正されました。
このアップデートには、Oracle MySQL 用の 37 個の新しいセキュリティ パッチが含まれており、そのうち 11 個は認証なしでリモートから悪用できる可能性があります。 また、Oracle Financial Services Applications 用の 24 の新しいセキュリティ パッチも含まれており、そのうち 16 は認証なしでリモートから悪用される可能性があります。
「攻撃の成功によってもたらされる脅威」のため、オラクルは、顧客がクリティカル・パッチ・アップデートのセキュリティ・パッチをできるだけ早く適用することを「強く推奨」します。