JPCERT コーディネーションセンター

Weekly Report 2015-08-19号

JPCERT-WR-2015-3201
JPCERT/CC
2015-08-19

<<< JPCERT/CC WEEKLY REPORT 2015-08-19 >>>

■08/09(日)〜08/15(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Adobe Flash Player および Adobe Air に複数の脆弱性

【3】複数の Apple 製品に脆弱性

【4】複数の Mozilla 製品に脆弱性

【5】Lenovo Service Engine (LSE) に任意のコードが実行可能な脆弱性

【今週のひとくちメモ】データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153201.txt
https://www.jpcert.or.jp/wr/2015/wr153201.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases August 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/08/11/Microsoft-Releases-August-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft .NET Framework
- Microsoft Office
- Microsoft Lync
- Microsoft Silverlight
- Microsoft サーバー ソフトウェア
- Microsoft Edge

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを
適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 8 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-Aug

JPCERT/CC Alert 2015-08-12
2015年8月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150028.html

【2】Adobe Flash Player および Adobe Air に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/08/11/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player デスクトップランタイム 18.0.0.209 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 13.0.0.309 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash PlayerLinux 11.2.202.491 およびそれ以前 (Linux 版) 
- Adobe AIR デスクトップランタイム 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe AIR SDK & Compiler 18.0.0.180  およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-19.html

JPCERT/CC Alert 2015-08-12
Adobe Flash Player の脆弱性 (APSB15-19) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150029.html

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for OS X Server, iOS, Safari, and Yosemite
https://www.us-cert.gov/ncas/current-activity/2015/08/13/Apple-Releases-Security-Updates-OS-X-Server-iOS-Safari-and-Yosemite

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの
可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Safari 8.0.8 より前のバージョン
- Safari 7.1.8 より前のバージョン
- Safari 6.2.8 より前のバージョン
- OS X Yosemite v10.10.4 およびそれ以前
- OS X Mavericks v10.9.5 およびそれ以前
- OS X Mountain Lion v10.8.5 およびそれ以前
- iOS 8.4.1 より前のバージョン
- OS X Server v4.1.5 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (英語)

Apple
About the security content of Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8
https://support.apple.com/ja-jp/HT205033

Apple
About the security content of OS X Yosemite v10.10.5 and Security Update 2015-006
https://support.apple.com/ja-jp/HT205031

Apple
About the security content of iOS 8.4.1
https://support.apple.com/ja-jp/HT205030

Apple
About the security content of OS X Server v4.1.5
https://support.apple.com/ja-jp/HT205032

【4】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Firefox OS
https://www.us-cert.gov/ncas/current-activity/2015/08/11/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and-Firefox

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 40 より前のバージョン
- Firefox ESR 38.2 より前のバージョン
- Firefox OS 2.2 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 11 日)
http://www.mozilla-japan.org/security/announce/

【5】Lenovo Service Engine (LSE) に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Lenovo Service Engine (LSE) BIOS Vulnerability
https://www.us-cert.gov/ncas/current-activity/2015/08/12/Lenovo-Service-Engine-LSE-BIOS-Vulnerability

概要

Lenovo 製品の BIOS に含まれる Lenovo Service Engine (LSE) には、脆弱性
があります。結果として、遠隔の第三者が、任意のコードを実行する可能性が
あります。

対象となる製品は複数存在します。詳細は、Lenovo が提供する情報を参照し
てください。

この問題は、Lenovo LSE ディセーブラ ツール等を用いて Lenovo Service
Engine (LSE) を無効にすることで解決します。詳細は、Lenovo が提供する情
報を参照してください。

関連文書 (日本語)

Lenovo
ノートブック用 LENOVO SERVICE ENGINE (LSE) BIOS
https://support.lenovo.com/jp/ja/product_security/lse_bios_notebook

Lenovo
デスクトップ用 LENOVO SERVICE ENGINE (LSE) BIOS
https://support.lenovo.com/jp/ja/product_security/lse_bios_desktop

■今週のひとくちメモ

○データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン」を公開

2015年8月10日、データベース・セキュリティ・コンソーシアムは、「DB 内部
不正対策ガイドライン」を公開しました。このガイドラインでは、内部不正対
策の概要として「管理者の誘因」「管理者の抑制」「運用の実施」の 3つをあ
げ、それぞれについて具体的に紹介しています。また、2015年8月31日まで、
このガイドラインについてのパブリックコメントを募集しています。

参考文献 (日本語)

データベース・セキュリティ・コンソーシアム
DB 内部不正対策ガイドライン
http://www.db-security.org/report/antifraud_guide_rev0.9.pdf

データベース・セキュリティ・コンソーシアム
『DB内部不正対策ガイドライン 第0.9版』公開 及び ガイドラインに対するパブリックコメント募集について
http://www.db-security.org/20150810news.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter