US-CERT Current Activity
Microsoft Releases April 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/04/10/Microsoft-Releases-April-2018-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- Microsoft Malware Protection Engine
- Microsoft Visual Studio

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/04/10/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Google Chrome 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 10 版、8.1 版)
- Adobe Experience Manager 6.0 から 6.3
- Adobe InDesign CC 13.0 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Digital Editions 4.5.7 およびそれ以前 (Windows 版、Macintosh 版、iOS 版、Android 版)
- Adobe PhoneGap Push プラグイン 1.8.0 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の Juniper 製品に脆弱性

情報源

US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/04/12/Juniper-Networks-Releases-Security-Updates

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- SRX シリーズ
- Steel-Belted Radius Carrier
- NorthStar Controller
- Network and Security Manager Appliance
- Junos Snapshot Administrator

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

【4】Microsoft Outlook に情報漏えいの問題

情報源

Japan Vulnerability Notes JVNVU#95312708
Microsoft Outlook の OLE コンテンツ取得における問題
https://jvn.jp/vu/JVNVU95312708/

概要

Microsoft Outlook には、情報漏えいの問題があります。結果として、遠隔の
第三者が、細工したメッセージをユーザに閲覧させることで、メールの認証情
報などを取得する可能性があります。

対象となる製品は次のとおりです。

- Microsoft Outlook

この問題は、Microsoft Outlook に Microsoft が提供する更新プログラムを
適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
ださい。

【5】サイボウズ Garoon に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#65268217
サイボウズ Garoon における複数の脆弱性
https://jvn.jp/jp/JVN65268217

概要

サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に
ログイン可能なユーザが、閲覧権限のない情報を取得するなどの可能性があり
ます。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 3.0.0 から 4.6.1 まで

この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。

【6】vRealize Automation に複数の脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/04/13/VMware-Releases-Security-Updates

概要

vRealize Automation には、複数の脆弱性があります。結果として、遠隔の第
三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があ
ります。

対象となるバージョンは次のとおりです。

- vRealize Automation 7.4.0 より前の 7 系

この問題は、vRealize Automation を、VMWare が提供する修正済みのバージョン
に更新することで解決します。詳細は、VMWare が提供する情報を参照してく
ださい。

【7】オムロン製 CX-One に含まれるアプリケーションに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#95484528
オムロン製 CX-One に含まれるアプリケーションにおける複数の脆弱性
https://jvn.jp/vu/JVNVU95484528/

概要

オムロン株式会社が提供する CX-One に含まれるアプリケーションには、複数
の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- CX-One Version 4.4.2 およびそれ以前に含まれる次のアプリケーション

    CX-FLnet Version 1.00 およびそれ以前
    CX-Protocol Version 1.992 およびそれ以前
    CX-Programmer Version 9.65 およびそれ以前
    CX-Server Version 5.0.22 およびそれ以前
    Network Configurator Version 3.63 およびそれ以前
    Switch Box Utility Version 1.68 およびそれ以前

この問題は、CX-One および CX-One に含まれるアプリケーションをオムロン
株式会社が提供する修正済みのバージョンに更新することで解決します。詳細
は、オムロン株式会社が提供する情報を参照してください。

【8】PhishWall クライアント Internet Explorer版のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#92220486
PhishWall クライアント Internet Explorer版のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN92220486

概要

PhishWall クライアント Internet Explorer版のインストーラには、DLL 読み
込みに関する脆弱性があります。結果として、第三者が任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- PhishWall クライアント Internet Explorer版 Ver. 3.7.15 およびそれ以前のインストーラ

この問題は、株式会社セキュアブレインが提供する最新のインストーラでは解
決しています。なお、すでに PhishWall クライアント Internet Explorer版
をインストールしている場合には、この問題の影響はありません。詳細は、株
式会社セキュアブレインが提供する情報を参照してください。

【9】Tenable Appliance にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#71255137
Tenable Appliance におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN71255137/

概要

Tenable Appliance には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- Tenable Appliance 4.6.1 およびそれ以前

この問題は、Tenable Appliance を Tenable が提供する修正済みのバージョン
に更新することで解決します。詳細は、Tenable が提供する情報を参照してく
ださい。

■今週のひとくちメモ

○テレワークセキュリティガイドライン（第4版）の公表

2018年4月13日、総務省は、「テレワークセキュリティガイドライン（第4版）」
を公表しました。本ガイドラインでは、経営者やシステム管理者、テレワーク
勤務者といった立場ごとに、実施すべきセキュリティ対策のポイントや解説を
まとめたものです。既にテレワークを実施している組織や、これから導入を検
討されている組織は、ぜひ参考にしてください。

参考文献 (日本語)

総務省
「テレワークセキュリティガイドライン（第4版）」（案）に対する意見募集の結果及び当該ガイドラインの公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2018-04-18号

<<< JPCERT/CC WEEKLY REPORT 2018-04-18 >>>

■04/08(日)〜04/14(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

○テレワークセキュリティガイドライン（第4版）の公表

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次