US-CERT Current Activity
Microsoft Releases June 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Microsoft-Releases-June-2017-Security-Updates

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Silverlight
- Skype for Business
- Microsoft Lync

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 25.0.0.171 およびそれ以前 (Windows版、Macintosh版、Linux版)
- Adobe Shockwave Player 12.2.8.198 およびそれ以前 (Windows版)
- Adobe Captivate 9 およびそれ以前 (Windows版、Macintosh版)
- Adobe Digital Editions 4.5.4 およびそれ以前 (Windows版、Macintosh版、iOS版、Android版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Mozilla-Releases-Security-Updates

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/06/15/Mozilla-Releases-Security-Update

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 54 より前のバージョン
- Mozilla Firefox ESR 52.2 より前のバージョン
- Mozilla Thunderbird 52.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

【4】ISC BIND 9 に複数の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/06/15/ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、第三者が任意のコードを実行したりす
る可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.2.6-P2 から 9.2.9 まで
- BIND 9.3.2-P1 から 9.3.6 まで
- BIND 9.4.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.10 まで
- BIND 9.10.0 から 9.10.5 まで
- BIND 9.11.0 から 9.11.1 まで
- BIND 9.9.3-S1 から 9.9.10-S1 まで
- BIND 9.10.5-S1

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

【5】防衛装備庁が提供する電子入札・開札システムのインストーラに任意のコードを実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#27198823
防衛装備庁が提供する電子入札・開札システムのインストーラにおける実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN27198823/

概要

防衛装備庁が提供する電子入札・開札システムのインストーラには、意図しな
い実行ファイルの呼び出しに関する脆弱性があります。結果として、第三者が
任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- 電子入札・開札システムのインストーラ

この問題は、防衛省防衛装備庁が提供する最新のインストーラでは解決してい
ます。なお、すでに当該インストーラにて電子入札・開札システムの応札者環
境を構築済みの場合は、本脆弱性の影響を受けません。詳細は、防衛省防衛装
備庁が提供する情報を参照してください。

【6】WordPress 用プラグイン WP-Members にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#51355647
WordPress 用プラグイン WP-Members におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN51355647/

概要

WordPress 用プラグイン WP-Members には、クロスサイトスクリプティングの
脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- WP-Members 3.1.8 より前のバージョン

この問題は、WP-Members を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【7】WordPress 用プラグイン WordPress Download Manager に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#79738260
WordPress 用プラグイン WordPress Download Manager における複数の脆弱性
https://jvn.jp/jp/JVN79738260/

概要

WordPress 用プラグイン WordPress Download Manager には、複数の脆弱性が
あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリ
プトを実行したり、細工した URL にユーザをアクセスさせることで、任意の
ウェブサイトにリダイレクトさせたりする可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Download Manager 2.9.51 より前のバージョン

この問題は、WordPress Download Manager を W3 Eden, Inc. が提供する修正
済みのバージョンに更新することで解決します。詳細は、W3 Eden, Inc. が提
供する情報を参照してください。

【8】WordPress 用プラグイン WP Job Manager にアクセス制限不備の問題

情報源

Japan Vulnerability Notes JVN#56787058
WordPress 用プラグイン WP Job Manager におけるアクセス制限不備の問題
https://jvn.jp/jp/JVN56787058/

概要

WordPress 用プラグイン WP Job Manager には、アクセス制限不備の問題があ
ります。結果として、遠隔の第三者が画像ファイルをアップロードする可能性
があります。

対象となるバージョンは次のとおりです。

- WP Job Manager 1.26.2 より前のバージョン

この問題は、WP Job Manager を Automattic Inc. が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Automattic Inc. が提供する情
報を参照してください。

【9】Android アプリ「サイボウズ KUNAI for Android」にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#56588965
Android アプリ「サイボウズ KUNAI for Android」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN56588965/

概要

Android アプリ「サイボウズ KUNAI for Android」には、クロスサイトスクリ
プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使
用しているユーザのデバイス上で、任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- サイボウズ KUNAI for Android 3.0.0 から 3.0.6 まで

この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株
式会社が提供する情報を参照してください。

【10】QuickTime for Windows のインストーラに任意のDLL読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#94771799
QuickTime for Windows のインストーラにおける任意のDLL読み込みの脆弱性
https://jvn.jp/jp/JVN94771799/

概要

QuickTime for Windows のインストーラには、任意の DLL 読み込みに関する
脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ
ります。

対象となる製品は次のとおりです。

- QuickTime for Windows のインストーラ

2017年6月21日現在、当該製品の開発は停止しています。当該製品をインストー
ルしないでください。詳細は、Apple が提供する情報を参照してください。

【11】Samsung Magician に任意のコードが実行可能な脆弱性

情報源

CERT/CC Vulnerability Note VU#846320
Samsung Magician fails to update itself securely
https://www.kb.cert.org/vuls/id/846320

概要

Samsung Magician には、更新の確認や更新データの取得に関する脆弱性があ
ります。結果として、遠隔の第三者が、中間者攻撃によって任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- Samsung Magician version 5.1 より前のバージョン

この問題は、Samsung Magician を Samsung Memory が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Samsung Memory が提供する情
報を参照してください。

【12】HPE SiteScope に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#768399
HPE SiteScope contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/768399

概要

HPE SiteScope には、複数の脆弱性があります。結果として、遠隔の第三者が、
当該製品を使用しているシステム上の任意のファイルを取得したり、認証情報
を取得したりする可能性があります。

対象となるバージョンは次のとおりです。他のバージョンでもこの問題の影響
を受ける可能性があります。

- SiteScope 11.31.461

2017年6月21日現在、対策済みのバージョンは公開されていません。次の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- 古い API を無効にする
- キーマネージメント機能を有効にする

詳細は、Hewlett Packard Enterprise が提供する情報を参照してください。

【13】ソースコードセキュリティ検査ツール iCodeChecker にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#25078144
ソースコードセキュリティ検査ツール iCodeChecker におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN25078144/

概要

ソースコードセキュリティ検査ツール iCodeChecker には、クロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を
使用しているユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。

対象となる製品は次のとおりです。

- ソースコードセキュリティ検査ツール iCodeChecker

2017年6月21日現在、ソースコードセキュリティ検査ツール iCodeChecker の
開発およびサポートは終了しています。ソースコードセキュリティ検査ツール
iCodeChecker の使用を停止してください。詳細は、情報処理推進機構 (IPA)
が提供する情報を参照してください。

【14】制御システムを狙う CrashOverride マルウェアに注意

情報源

US-CERT Alert (TA17-163A)
CrashOverride Malware
https://www.us-cert.gov/ncas/alerts/TA17-163A

概要

2017年6月12日、US-CERT は、ESET 社および Dragos 社のレポートをもとに、
注意喚起「CrashOverride Malware」を公開しました。本注意喚起では、マル
ウエア CrashOverride について、電力システムの監視や制御を行うための通
信プロトコル (IEC101、IEC104、IEC61850 などの規格に準拠したもの) を使
用し、制御システムの運用妨害や機密情報の取得を行う可能性があるとして注
意を呼びかけています。

■今週のひとくちメモ

○フィッシング対策協議会が「フィッシング対策ガイドライン」の改訂版を公開

2017年6月16日、フィッシング対策協議会は、2016年に公開された「フィッシン
グ対策ガイドライン」の改訂版を公開しました。このガイドラインは、サービ
ス事業者と利用者それぞれにおけるフィッシング詐欺対策の要件をまとめたも
ので、今回の改訂により、ユーザに提供するアプリケーションの安全性の確保
や、端末の安全性の確認など、4つの要件が追加されたとのことです。

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策ガイドライン 2017年度版
https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf

フィッシング対策協議会
資料公開: フィッシング対策ガイドラインの改訂について
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2017.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2017-06-21号

<<< JPCERT/CC WEEKLY REPORT 2017-06-21 >>>

■06/11(日)〜06/17(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○フィッシング対策協議会が「フィッシング対策ガイドライン」の改訂版を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次