<<< JPCERT/CC WEEKLY REPORT 2019-09-26 >>>
■09/15(日)〜09/21(土) のセキュリティ関連情報
目 次
【1】Google Chrome に複数の解放済みメモリ使用 (Use-after-free) の脆弱性
【2】複数の VMware 製品に脆弱性
【3】LINE (Android版) に複数の整数オーバーフローの脆弱性
【今週のひとくちメモ】脆弱性の開示に関するCERTガイドの更新、および課題の募集について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193701.txt
https://www.jpcert.or.jp/wr/2019/wr193701.xml
【1】Google Chrome に複数の解放済みメモリ使用 (Use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/09/19/google-releases-security-updates-chrome
概要
Google Chrome には、複数の解放済みメモリの使用に関する脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 77.0.3865.90 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop_18.html
【2】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/09/17/vmware-releases-security-updates-multiple-productsUS-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/09/20/vmware-releases-security-updates-multiple-products
概要
複数の VMware 製品には、脆弱性があります。結果として、管理者権限を持た ないゲスト OS のユーザがホスト OS 上で任意のコードを実行するなどの可能 性があります。 対象となる製品は次のとおりです。 - VMware vSphere ESXi - VMware vCenter Server - VMware Workstation Pro / Player - VMware Fusion Pro / Fusion - VMware Remote Console for Windows - VMware Remote Console for Linux - VMware Horizon Client for Windows - VMware Horizon Client for Linux - VMware Horizon Client for Mac この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0013.1
https://www.vmware.com/security/advisories/VMSA-2019-0013.htmlVMware Security Advisories
VMSA-2019-0014.1
https://www.vmware.com/security/advisories/VMSA-2019-0014.html
【3】LINE (Android版) に複数の整数オーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#97845465
LINE (Android版) における複数の整数オーバーフローの脆弱性
https://jvn.jp/jp/JVN97845465/
概要
LINE (Android 版) には、複数の整数オーバーフローの脆弱性が存在します。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - LINE (Android版) 4.4.0 以上 9.15.1 未満のバージョン この問題は、LINE (Android 版) を LINE 株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、LINE 株式会社が提供する情報 を参照してください。
関連文書 (日本語)
LINE 株式会社
LINE(ライン) - 無料通話・メールアプリ
https://play.google.com/store/apps/details?id=jp.naver.line.android
■今週のひとくちメモ
○脆弱性の開示に関するCERTガイドの更新、および課題の募集について
CERT/CC は、2019年9月16日に "CERT Guide to Coordinated Vulnerability Disclosure" のアップデートに関するブログ記事を公開しました。本ガイドは、 脆弱性の開示プロセスに関しての指針が記載されています。今回のアップデー トでは本ガイドの内容の更新及び web 化が行われました。また、本ガイドは 関係者からの意見を取り込むため、課題の提案を広く募集しています。
参考文献 (英語)
CERT/CC
Update on the CERT Guide to Coordinated Vulnerability Disclosure
https://insights.sei.cmu.edu/cert/2019/09/update-on-the-cert-guide-to-coordinated-vulnerability-disclosure.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
