JPCERT コーディネーションセンター

Weekly Report 2018-05-16号

JPCERT-WR-2018-1801
JPCERT/CC
2018-05-16

<<< JPCERT/CC WEEKLY REPORT 2018-05-16 >>>

■05/06(日)〜05/12(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Mozilla Firefox に複数の脆弱性

【4】Google Chrome に複数の脆弱性

【5】複数の Pivotal Software 製品に脆弱性

【6】Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題

【7】統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃

【8】WordPress 用プラグイン Ultimate Member に複数の脆弱性

【9】Android アプリ「IIJ SmartKey」に認証不備の脆弱性

【10】スマートフォンアプリ「キネパス」に SSL サーバ証明書の検証不備の脆弱性

【今週のひとくちメモ】JNSA が「CISO ハンドブック」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr181801.txt
https://www.jpcert.or.jp/wr/2018/wr181801.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases May 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/05/08/Microsoft-Releases-May-2018-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- Microsoft Exchange Server

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2018 年 5 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/a82328f9-1f26-e811-a968-000d3a33a34d

JPCERT/CC Alert 2018-05-09
2018年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180021.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/05/08/Adobe-Releases-Security-Updates-0

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 29.0.0.140 およびそれ以前 (Windows 版、Macintosh 版 および Linux 版)
- Google Chrome 用の Adobe Flash Player 29.0.0.140 およびそれ以前 (Windows 版、Macintosh 版、Linux 版 および Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.140 およびそれ以前 (Windows 10 版 および 8.1 版)
- Creative Cloud デスクトップアプリケーション 4.4.1.298 およびそれ以前 (Windows 版 および Macintosh 版)
- Adobe Connect 9.7.5 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開 | APSB18-12
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb18-12.html

Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-16
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-16.html

Adobe
Adobe Connect 用のセキュリティアップデート | APSB18-18
https://helpx.adobe.com/jp/security/products/connect/apsb18-18.html

JPCERT/CC Alert 2018-05-09
Adobe Flash Player の脆弱性 (APSB18-16) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180020.html

【3】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2018/05/09/Mozilla-Releases-Security-Updates-Firefox

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 60 より前のバージョン
- Mozilla Firefox ESR 52.8 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 60
https://www.mozilla.org/en-US/security/advisories/mfsa2018-11/

Mozilla
Security vulnerabilities fixed in Firefox ESR 52.8
https://www.mozilla.org/en-US/security/advisories/mfsa2018-12/

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/05/10/Google-Releases-Security-Update-Chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が、
権限を昇格したり、任意のコードを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 66.0.3359.170 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/05/stable-channel-update-for-desktop.html

【5】複数の Pivotal Software 製品に脆弱性

情報源

Pivotal Software
Spring Framework 4.3.17 and 5.0.6 available now
https://spring.io/blog/2018/05/08/spring-framework-4-3-17-and-5-0-6-available-now

Pivotal Software
Spring Project Vulnerability Reports Published
https://spring.io/blog/2018/05/09/spring-project-vulnerability-reports-published

概要

複数の Pivotal Software 製品には、脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Spring Framework 5.0 から 5.0.5 まで
- Spring Framework 4.3 から 4.3.16 まで
- Spring Security 5.0.5 より前のバージョン
- Spring Data Commons 2.0 から 2.0.6 (Kay SR6) まで
- Spring Data Commons 1.13 から 1.13.11 (Ingalls SR11) まで
- Spring Data REST 3.0 から 3.0.6 (Kay SR6) まで
- Spring Data REST 2.6 から 2.6.11 (Ingalls SR11) まで
- Spring Security OAuth 2.3 から 2.3.2 まで
- Spring Security OAuth 2.2 から 2.2.1 まで
- Spring Security OAuth 2.1 から 2.1.1 まで
- Spring Security OAuth 2.0 から 2.0.14 まで
- Spring Integration Zip Community Extension Project version 1.0.0

なお、Spring Framework および Spring Security OAuth については、すでに
サポートが終了している過去のバージョンにおいても本脆弱性の影響を受ける
とのことです。

この問題は、該当の製品を Pivotal Software が提供する修正済みのバージョン
に更新することで解決します。詳細は、Pivotal Software が提供する情報を
参照してください。

関連文書 (英語)

Pivotal Software
CVE-2018-1257: ReDoS Attack with spring-messaging
https://pivotal.io/security/cve-2018-1257

Pivotal Software
CVE-2018-1258: Unauthorized Access with Spring Security Method Security
https://pivotal.io/security/cve-2018-1258

Pivotal Software
CVE-2018-1259: XXE with Spring Data’s XMLBeam integration
https://pivotal.io/security/cve-2018-1259

Pivotal Software
CVE-2018-1260: Remote Code Execution with spring-security-oauth2
https://pivotal.io/security/cve-2018-1260

Pivotal Software
CVE-2018-1261: Unsafe Unzip with spring-integration-zip
https://pivotal.io/security/cve-2018-1261

【6】Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題

情報源

CERT/CC Vulnerability Note VU#631579
Hardware debug exception documentation may result in unexpected behavior
https://www.kb.cert.org/vuls/id/631579

US-CERT Current Activity
Debug Exception May Cause Unexpected Behavior
https://www.us-cert.gov/ncas/current-activity/2018/05/08/Debug-Exception-May-Cause-Unexpected-Behavior

概要

複数のオペレーティングシステムやハイパーバイザには、Intel ハードウェア
アーキテクチャにおけるデバッグ例外の処理に問題があります。結果として、
認証された第三者が、メモリ上の機微な情報を取得したり、より高い特権レベ
ルの操作を行ったりする可能性があります。

対象となる製品は次のとおりです。

- Intel ハードウェアアーキテクチャで動作するオペレーティングシステムやハイパーバイザなど

使用している各オペレーティングシステムやハイパーバイザのベンダや配布元
などの情報を確認し、対策の施されたバージョンが公開されている場合、速や
かに適用することをおすすめします。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98401336
Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題
https://jvn.jp/vu/JVNVU98401336/

関連文書 (英語)

Intel
Intel 64 and IA-32 Architectures Software Developer Manuals
https://software.intel.com/en-us/articles/intel-sdm

【7】統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃

情報源

CERT/CC Vulnerability Note VU#283803
Integrated GPUs may allow side-channel and rowhammer attacks using WebGL ("Glitch")
https://www.kb.cert.org/vuls/id/283803

Japan Vulnerability Notes JVNVU#92147586
統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃
https://jvn.jp/vu/JVNVU92147586/

概要

スマートフォンなどの GPU が統合されたプラットフォームを利用する機器は、
GLitch と呼ばれる攻撃を実行される可能性があります。結果として、遠隔の
第三者が、当該機器を使用するユーザを悪意のあるサイトへアクセスさせ、ブ
ラウザが提供するセキュリティ機能をバイパスさせる可能性があります。

対象となる製品は次のとおりです。

- スマートフォンを含む GPU が統合されたプラットフォームを利用する機器

使用しているブラウザの開発者や配布元などの情報から、対策の施されたバー
ジョンが公開されているか確認することをおすすめします。

関連文書 (英語)

VUSec
What is GLitch?
https://www.vusec.net/projects/glitch/

【8】WordPress 用プラグイン Ultimate Member に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#28804532
WordPress 用プラグイン Ultimate Member における複数の脆弱性
https://jvn.jp/jp/JVN28804532/

概要

WordPress 用プラグイン Ultimate Member には、複数の脆弱性があります。
結果として、遠隔の第三者が、サーバ内の任意のファイルを削除するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- Ultimate Member 2.0.4 より前のバージョン

この問題は、Ultimate Member を開発者が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Ultimate Member
Changelog
https://wordpress.org/plugins/ultimate-member/#developers

【9】Android アプリ「IIJ SmartKey」に認証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#27137002
Android アプリ「IIJ SmartKey」における認証不備の脆弱性
https://jvn.jp/jp/JVN27137002/

概要

Android アプリ「IIJ SmartKey」には、認証不備の脆弱性があります。結果と
して、第三者が、当該製品のパスコード認証を回避し、ワンタイムパスワード
を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「IIJ SmartKey」バージョン 2.1.0 およびそれ以前

この問題は、IIJ SmartKey を株式会社インターネットイニシアティブが提供
する修正済みのバージョンに更新することで解決します。また、次の回避策を
適用することで、本脆弱性の影響を軽減することが可能です。

- Android OS 標準の画面ロック機能を利用する

詳細は、株式会社インターネットイニシアティブが提供する情報を参照してく
ださい。

関連文書 (日本語)

株式会社インターネットイニシアティブ
IIJ SmartKey
https://play.google.com/store/apps/details?id=jp.ad.iij.smartkey2

Japan Vulnerability Notes
株式会社インターネットイニシアティブからの情報
https://jvn.jp/jp/JVN27137002/317632/index.html

【10】スマートフォンアプリ「キネパス」に SSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#83671755
スマートフォンアプリ「キネパス」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN83671755/

概要

スマートフォンアプリ「キネパス」には、SSL サーバ証明書の検証不備の脆弱
性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信の
盗聴などが行われる可能性があります。

対象となる製品とバージョンは次のとおりです。

- Androidアプリ「キネパス」 Ver 3.1.1 およびそれ以前
- iOSアプリ「キネパス」 Ver 3.1.2 およびそれ以前

この問題は、キネパスを株式会社ティ・ジョイが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ティ・ジョイが提供する情報
を参照してください。

関連文書 (日本語)

株式会社ティ・ジョイ
キネパス アプリでカンタン便利な映画チケット予約
https://play.google.com/store/apps/details?id=jp.tjoy.kinepass

株式会社ティ・ジョイ
キネパス アプリでカンタン便利な映画チケット予約
https://itunes.apple.com/jp/app/kinepasu-apuridekantan-bian/id637453055

■今週のひとくちメモ

○JNSA が「CISO ハンドブック」を公開

2018年5月11日、日本ネットワークセキュリティ協会 (JNSA) は、「CISO ハン
ドブック」を公開しました。このハンドブックは、CISO (Chief Information
Security Officer) が経営陣の一員としてセキュリティ業務を執行する上で使
用できるものであり、ビジネスの基本的な枠組みを整理し、明確にすべき目標
と指標、そして施策を評価する判断基準を提供することを目的としています。
また、CISO が情報セキュリティに関する状況を適切に経営会議で報告できる
よう、報告内容や報告イメージをまとめたものが、CISO ダッシュボードとし
て提供されています。

参考文献 (日本語)

日本ネットワークセキュリティ協会 (JNSA)
CISO ハンドブック
http://www.jnsa.org/result/2018/act_ciso/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter