【テックラジオ】巷のセキュリティ 2023年01月10日

2023/1/10 巷のセキュリティ, 書き溜め

テックラジオ
テックラジオ
【テックラジオ】巷のセキュリティ 2023年01月10日
Loading
/

概要

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • 「Zoom」Androidクライアントにパストラバーサルの脆弱性
  • The Table of Contents Plus等複数のWordPressプラグインに保存型クロスサイトスクリプティングの脆弱性
  • Windows 8.1サポート終了のお知らせ

おまけ

  • WordPressプラグインのアップデートをちゃんとしてますか?

「Zoom」Androidクライアントにパストラバーサルの脆弱性

「Zoom」のAndroidクライアントにはパストラバーサルの脆弱性が存在します。サードパーティアプリは、この脆弱性を悪用してZoomアプリケーションのデータディレクトリを読み書きすることができます。

影響をうける対象

  • v5.13.0より前のバージョン

対処方法

  • v5.13.4またはそれ以降へのアップデート

一次情報

  • https://explore.zoom.us/en/trust/security/security-bulletin/

The Table of Contents Plus等複数のWordPressプラグインに保存型クロスサイトスクリプティングの脆弱性

WordPressで比較的有名なプラグインである、The Table of Contents Plus、Jetpack CRM、WP-Table Reloadedには、保存型クロスサイトスクリプティングの脆弱性が存在します。同日に発見された脆弱性で、LanaCodeさんらが報告したものです。

影響をうける対象

  • バージョン5.4系以下のJetpack CRM
  • バージョン2211系以下のThe Table of Contents Plus
  • WP-Table Reloadedはまだ未対応っぽい

対処方法

  • 5.5またはそれ以上へのアップデート
  • 2212またはそれ以上へのアップデート

一次情報

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4497
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4491
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4479

Windows 8.1サポート終了のお知らせ

Windows 8.1は 2023 年 1 月 10 日にサポートが終了し、その時点でテクニカル アシスタンスとソフトウェア更新プログラムは提供されなくなります。ついに、Windows8.1が終了のお知らせです。

個人的に気になるのは、Windows10 のサポート期限の2025年10月14日です。早いところ11にアップデートしたいもののSteamゲームの不具合が怖いので中々あげられない。

Windows11でもゴリゴリゲームやれている人がいたらおしえてください。

一次情報

  • https://support.microsoft.com/ja-jp/windows/windows-8-1%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF-2023-%E5%B9%B4-1-%E6%9C%88-10-%E6%97%A5%E3%81%AB%E7%B5%82%E4%BA%86%E3%81%97%E3%81%BE%E3%81%99-3cfd4cde-f611-496a-8057-923fba401e93#:~:text=Windows%208.1%20%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%83%BC%E3%81%8C%E5%8B%95%E4%BD%9C,%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0%E3%82%92%E5%8F%97%E3%81%91%E5%8F%96%E3%82%89%E3%81%AA%E3%81%8F%E3%81%AA%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82

WordPressプラグインのアップデートをちゃんとしてますか?

WordPressプラグインのアップデートをちゃんとしてますか?

WordPressは最初の構築時のメリットが盛りだくさんです。簡単に始められるし、ちょっと気を付ければ安全なWebサイトを構築できます。

プラグインの組み合わせで、ほぼなんでもできます。

しかし一番つらいのは維持です。特にプラグインはいつの間にか開発が止まっていて脆弱性だらけの状態になっていることもあります。

ITMediaの記事によると脆弱性のあるプラグインを標的にしたLinuxプログラムが発見されたとしています。WordPressはアップデートの間隔が短いため、気軽につくったプラグインをメンテナンスすることはとても苦労します。プラグインを使っている側はそんなことはお構いなしである場合が多く、いつの間にか脆弱なWebサイトができあがってしまいます。

なのでアップデートはちゃんとしましょうね。あと、普段から使っているOSSには投げ銭しようね。

じゃあね~~。