JPCERT コーディネーションセンター

Weekly Report 2015-03-18号

JPCERT-WR-2015-1101
JPCERT/CC
2015-03-18

<<< JPCERT/CC WEEKLY REPORT 2015-03-18 >>>

■03/08(日)〜03/14(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】複数の Apple 製品に脆弱性

【4】Telerik Analytics Monitor ライブラリに脆弱性

【今週のひとくちメモ】IPA「安全なウェブサイトの作り方 改訂第7版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr151101.txt
https://www.jpcert.or.jp/wr/2015/wr151101.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases March 2015 Security Bulletin and Patches FREAK
https://www.us-cert.gov/ncas/current-activity/2015/03/10/Microsoft-Releases-March-2015-Security-Bulletin

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft サーバー ソフトウェア
- Microsoft Exchange

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 3 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/library/security/ms15-mar

JPCERT/CC Alert 2015-03-11
2015年3月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150007.html

【2】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/03/12/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第
三者が、細工したコンテンツをユーザに開かせることで、任意のコードを実行
するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 16.0.0.305 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 13.0.0.269 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.442 およびそれ以前 (Linux 版)

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
して下さい。

関連文書 (日本語)

Adobeセキュリティ情報
Adobe Flash Playerに関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-05.html

JPCERT/CC Alert 2015-03-13
Adobe Flash Player の脆弱性 (APSB15-05) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150008.html

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Addresses FREAK and Releases Security Updates for OS X, iOS, and Apple TV
https://www.us-cert.gov/ncas/current-activity/2015/03/09/Apple-Releases-Security-Updates-OS-X-iOS-and-Apple-TV

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 8.2 より前のバージョン
- AppleTV 7.1 より前のバージョン
- OS X Yosemite v10.10.2 より前のバージョン
- OS X Mavericks v10.9.5 より前のバージョン
- OS X Mountain Lion v10.8.5 より前のバージョン
- Xcode 6.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Apple が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90171154
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90171154/

関連文書 (英語)

Apple
About the security content of iOS 8.2
https://support.apple.com/en-us/HT204423

Apple
About the security content of Apple TV 7.1
https://support.apple.com/en-us/HT204426

Apple
About Security Update 2015-002
https://support.apple.com/en-us/HT204413

Apple
About the security content of Xcode 6.2
https://support.apple.com/en-us/HT204427

【4】Telerik Analytics Monitor ライブラリに脆弱性

情報源

CERT/CC Vulnerability Note VU#794095
Telerik Analytics Monitor Library allows DLL hijacking
https://www.kb.cert.org/vuls/id/794095

概要

Telerik Analytics Monitor ライブラリには、脆弱性があります。結果として、
第三者が、悪意ある DLL をロードさせることで、アプリケーションのコンテ
キストで任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Telerik Analytics Monitor ライブラリ
  バージョン 3.2.96 およびそれ以降で、3.2.125 より前のバージョン

この問題は、Telerik が提供する修正済みのバージョンに Telerik Analytics
Monitor ライブラリを更新することで解決します。詳細については、Telerik
が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98897821
Telerik Analytics Monitor ライブラリに DLL ハイジャックが可能な脆弱性
https://jvn.jp/vu/JVNVU98897821/

関連文書 (英語)

Telerik
Analytics Monitor Library v3.2.125
http://www.telerik.com/support/whats-new/analytics/release-history/details/analytics/analytics-monitor-library-3.2.125

Telerik
Analytics Monitor Library v3.2.129
http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-v3.2.129

■今週のひとくちメモ

○IPA「安全なウェブサイトの作り方 改訂第7版」を公開

2015年3月12日、情報処理推進機構 (IPA) は「安全なウェブサイトの作り方 
改訂第7版」を公開しました。この資料は、IPA への届け出件数の多かった脆
弱性や、影響の大きい脆弱性を解説し、ウェブサイトの安全性を向上させるた
めの技術的な対策や運用時の方策を示しています。

今回の改訂によって、バッファオーバーフローやパスワードに関する対策など
が追加されています。

参考文献 (日本語)

IPA
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開
https://www.ipa.go.jp/about/press/20150312.html

IPA
安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter