JPCERT コーディネーションセンター

Weekly Report 2018-01-31号

JPCERT-WR-2018-0401
JPCERT/CC
2018-01-31

<<< JPCERT/CC WEEKLY REPORT 2018-01-31 >>>

■01/21(日)〜01/27(土) のセキュリティ関連情報

目 次

【1】複数の Mozilla 製品に脆弱性

【2】Google Chrome に複数の脆弱性

【3】複数の Apple 製品に脆弱性

【4】複数の VMware 製品に脆弱性

【5】「フレッツ・ウイルスクリア 申込・設定ツール」および「フレッツ・ウイルスクリアv6 申込・設定ツール」のインストーラに DLL 読み込みに関する脆弱性

【今週のひとくちメモ】STOP. THINK. CONNECT. 啓発イベント

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr180401.txt
https://www.jpcert.or.jp/wr/2018/wr180401.xml

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/23/Mozilla-Releases-Security-Updates

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2018/01/25/Mozilla-Releases-Security-Update-Thunderbird

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 58 より前のバージョン
- Mozilla Firefox ESR 52.6 より前のバージョン
- Mozilla Thunderbird 52.6 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 58
https://www.mozilla.org/en-US/security/advisories/mfsa2018-02/

Mozilla
Security vulnerabilities fixed in Firefox ESR 52.6
https://www.mozilla.org/en-US/security/advisories/mfsa2018-03/

Mozilla
Security vulnerabilities fixed in Thunderbird 52.6
https://www.mozilla.org/en-US/security/advisories/mfsa2018-04/

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/01/24/Google-Releases-Security-Update-Chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 64.0.3282.119 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/01/stable-channel-update-for-desktop_24.html

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/23/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 11.0.3 より前のバージョン
- watchOS 4.2.2 より前のバージョン
- iOS 11.2.5 より前のバージョン
- macOS High Sierra 10.13.3 より前のバージョン
- tvOS 11.2.5 より前のバージョン
- macOS Sierra
- OS X El Capitan
- iCloud for Windows 7.3 より前のバージョン
- iTunes 12.7.3 for Windows より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99446427
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99446427/

Apple
Safari 11.0.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208475

Apple
watchOS 4.2.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208464

Apple
iOS 11.2.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208463

Apple
macOS High Sierra 10.13.3、セキュリティアップデート 2018-001 Sierra、セキュリティアップデート 2018-001 El Capitan のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208465

Apple
tvOS 11.2.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208462

Apple
Windows 用 iCloud 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208473

Apple
iTunes for Windows 12.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208474

【4】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/26/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- vRealize Automation 7.2、7.3 (Linux 版)
- vSphere Integrated Containers 1.3.0 より前のバージョン (Linux 版)
- VMware AirWatch Console 9.2.2 より前のバージョン
- VMware AirWatch Console 9.1.5 より前のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2018-0006
https://www.vmware.com/security/advisories/VMSA-2018-0006.html

【5】「フレッツ・ウイルスクリア 申込・設定ツール」および「フレッツ・ウイルスクリアv6 申込・設定ツール」のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#26255241
「フレッツ・ウイルスクリア 申込・設定ツール」および「フレッツ・ウイルスクリアv6 申込・設定ツール」のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN26255241/

概要

東日本電信電話株式会社が提供する「フレッツ・ウイルスクリア 申込・設定
ツール」および「フレッツ・ウイルスクリアv6 申込・設定ツール」のインス
トーラには、DLL 読み込みに関する脆弱性があります。結果として、第三者が
任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- フレッツ・ウイルスクリア 申込・設定ツール ver.11 およびそれ以前
- フレッツ・ウイルスクリアv6 申込・設定ツール ver.11 およびそれ以前

この問題は、東日本電信電話株式会社が提供する最新のインストーラでは解決
しています。すでに当該製品をインストールしている場合には、この問題の影
響はありません。詳細は、東日本電信電話株式会社が提供する情報を参照して
ください。

関連文書 (日本語)

東日本電信電話株式会社
フレッツ・ウイルスクリアサポート情報
https://flets.com/customer/tec/fvc/setup/esat_install.html

東日本電信電話株式会社
フレッツ・ウイルスクリアv6サポート情報
https://flets.com/customer/next/sec/setup/esat_install.html

■今週のひとくちメモ

○STOP. THINK. CONNECT. 啓発イベント

2018年2月21日、フィッシング対策協議会は、「STOP. THINK. CONNECT. 啓発
イベント」を開催いたします。本イベントは、ネット利用における行動習慣の
見直しにより、より安心で安全なインターネット社会の実現を目指すものです。
インターネット利用者として漠然と安全に不安を感じている方や、ネット利用
者への啓発活動を担当されている方を対象に、講演やゲーム体験会が行われま
す。参加費は無料ですが、事前に参加申込みが必要となります。申込方法、プ
ログラムなどの詳細は、Web ページをご確認ください。

日時および場所:
    2018年2月21日 (水) 19:00 - 21:00 (受付開始 18:30)
    Yahoo! JAPANコワーキングスペース「LODGE」 
    東京都千代田区紀尾井町1-3 17F
    https://lodge.yahoo.co.jp/access_pc.html

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策協議会STC普及啓発WG:STOP THINK CONNECT 啓発イベント
https://peatix.com/event/332976/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter