-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1501 JPCERT/CC 2014-04-16 <<< JPCERT/CC WEEKLY REPORT 2014-04-16 >>> ―――――――――――――――――――――――――――――――――――――― ■04/06(日)〜04/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性 【2】複数の Microsoft 製品に脆弱性 【3】Adobe Flash Player および AIR に複数の脆弱性 【4】WordPress に複数の脆弱性 【5】MovableType に複数の脆弱性 【6】PivotX に複数の脆弱性 【今週のひとくちメモ】ネットバンキング被害に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141501.html https://www.jpcert.or.jp/wr/2014/wr141501.xml ============================================================================ 【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性 情報源 CERT/CC Vulnerability Note VU#720951 OpenSSL heartbeat extension read overflow discloses sensitive information https://www.kb.cert.org/vuls/id/720951 概要 OpenSSL の heartbeat 拡張には、情報が開示される脆弱性があります。結果 として、遠隔の第三者が、秘密鍵などの重要な情報を取得する可能性がありま す。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.1 から 1.0.1f まで - OpenSSL 1.0.2 beta1 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) OpenSSL の脆弱性対策について(CVE-2014-0160) https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html Japan Vulnerability Notes JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU94401838/index.html JPCERT Alert 2014-04-08 OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html 関連文書 (英語) OpenSSL Security Advisory TLS heartbeat read overrun (CVE-2014-0160) https://www.openssl.org/news/secadv_20140407.txt US-CERT Alert (TA14-098A) OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160) https://www.us-cert.gov/ncas/alerts/TA14-098A 【2】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases April 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/04/08/Microsoft-Releases-April-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - Microsoft Office - Microsoft Office Services - Microsoft Office Web Apps - Microsoft Windows - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 4 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020) https://www.npa.go.jp/cyberpolice/topics/?seq=13518 独立行政法人情報処理推進機構 (IPA) Microsoft 製品の脆弱性対策について(2014年4月) https://www.ipa.go.jp/security/ciadr/vul/20140409-ms.html JPCERT/CC Alert 2014-04-09 2014年4月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140015.html Japan Vulnerability Notes JVNVU#96484185 Microsoft Office file format converter にメモリ破損の脆弱性 https://jvn.jp/vu/JVNVU96484185/index.html 【3】Adobe Flash Player および AIR に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player and AIR https://www.us-cert.gov/ncas/current-activity/2014/04/09/Adobe-Releases-Security-Updates-Flash-Player-and-AIR 概要 Adobe Flash Player および AIR には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 12.0.0.77 およびそれ以前 (Windows版および Macintosh版) - Adobe Flash Player 11.2.202.346 およびそれ以前 (Linux版) - Adobe AIR 4.0.0.1628 およびそれ以前 (Android版) - Adobe AIR 4.0.0.1628 SDK およびそれ以前 (Windows版および Macintosh版) - Adobe AIR 4.0.0.1628 SDK & Compiler およびそれ以前 (Windows版および Macintosh版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player や AIR を更新することで解決します。詳細については、Adobe が提供する情 報を参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 APSB14-09 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-09.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=13520 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB14-09)(CVE-2014-0506等) https://www.ipa.go.jp/security/ciadr/vul/20140409-adobeflashplayer.html JPCERT Alert 2014-04-09 Adobe Flash Player の脆弱性 (APSB14-09) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140014.html 【4】WordPress に複数の脆弱性 情報源 WordPress WordPress 3.8.2 Security Release https://wordpress.org/news/2014/04/wordpress-3-8-2/ 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、 認証を回避して不正な操作を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Wordpress 3.8.2 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細については、Wordpress が提供する情報を参照 して下さい。 関連文書 (日本語) WordPress 日本語 WordPress 3.8.2 セキュリティリリース https://ja.wordpress.org/news/2014/04/wordpress-3-8-2/ 【5】MovableType に複数の脆弱性 情報源 シックス・アパート [重要] 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始 http://www.sixapart.jp/movabletype/news/2014/04/09-1100.html 概要 MovableType には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - MovableType 6.0.2 およびそれ以前 - MovableType 5.2.9 およびそれ以前 - MovableType 5.161 およびそれ以前 この問題は、シックス・アパートが提供する修正済みのバージョンに MovableType を更新することで解決します。詳細については、シックス・アパー トが提供する情報を参照して下さい。 【6】PivotX に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#901156 PivotX 2.3.8 contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/901156 概要 PivotX には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のファイルをアップロードしたり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - PivotX 2.3.8 およびそれ以前 この問題は、PivotX が提供する修正済みのバージョンに PivotX を更新する ことで解決します。詳細については、PivotX が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98943832 PivotX に複数の脆弱性 https://jvn.jp/vu/JVNVU98943832/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ネットバンキング被害に注意 近年、フィッシングなどの被害によってネットバンキングやオンライン決済の ユーザの口座から預金が引き出される事例が急増しています。 2012年頃には国内で大手銀行を騙ったフィッシング詐欺の流行が見られましたが、 その後もこの傾向は続いており、今年に入って 3月12日には全国銀行協会が、 「ネットバンキング犯罪対策」特設サイトを公開して注意を呼びかけています。 参考文献に挙げている「ここからセキュリティ!」やフィッシング対策協議会な どのサイトで実際の被害事例を紹介しています。どのような事例があるかを知る とともに、お使いの PC 環境のセキュリティ強化やアカウント情報の適切な管理 を行ってください。 参考文献 (日本語) 全国銀行協会 ネットバンキング犯罪対策 https://www.zenginkyo.or.jp/ib_hanzai/ ここからセキュリティ! フィッシング詐欺・なりすまし https://www.ipa.go.jp/security/kokokara/measure/index.html#phishing フィッシング対策協議会 フィッシングに関するニュース https://www.antiphishing.jp/news/ JPCERT/CC ひとくちメモ オンラインバンキングマルウエアに注意 https://www.jpcert.or.jp/tips/2012/wr124601.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTTdkDAAoJEDF9l6Rp7OBIFD0IAK8LpIzZydS5Z+Kc5DCT+Egx avw7xT9qhl0QWzRi6xQcwb83cZyVvKgpU99UFn1Iuh3hw0GGDLKxahHynlOOFfZL BKjqzsP7VMHcPchM9rqPN1Age51OkeJ1FDfjlhtt1Jq7GPbd6Dlp/DK80T3ysFXJ lkmHocdLYQDIz7mRVZvCm2sd2pfiNSi/ICzf/VqSJbI6ysCx/yZz8kh3pTyKppoW su1gdBb1EQgeOZ/HtIqIenWrGgIzMmZUd9TcjvuiQHYztTb/ABjZNu9D/5cSGnDs Q0u0N/amcVdKWvCHt7l/Wj9d86q/nwkkBXuU2/C/+w+oK4aLFL1ThdAIAauvwyM= =iKgb -----END PGP SIGNATURE-----