JPCERT-WR-2014-3701
2014-09-25
2014-09-14
2014-09-20
Adobe Reader および Acrobat に複数の脆弱性
Adobe Reader および Acrobat には複数の脆弱性があります。結果として、遠
隔の第三者が、細工した PDF ファイルなどをユーザに開かせることで、任意の
コードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Reader XI (11.0.08) およびそれ以前 (Windows版)
- Adobe Reader XI (11.0.07) およびそれ以前 (Macintosh版)
- Adobe Reader X (10.1.11) およびそれ以前 (Windows版)
- Adobe Reader X (10.1.10) およびそれ以前 (Macintosh版)
- Adobe Acrobat XI (11.0.08) およびそれ以前 (Windows版)
- Adobe Acrobat XI (11.0.07) およびそれ以前 (Macintosh版)
- Adobe Acrobat X (10.1.11) およびそれ以前 (Windows版)
- Adobe Acrobat X (10.1.10) およびそれ以前 (Macintosh版)
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。
Adobeセキュリティ情報
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/reader/apsb14-20.html
警察庁 @Police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて(9/16)
https://www.npa.go.jp/cyberpolice/topics/?seq=14605
独立行政法人情報処理推進機構 (IPA)
Adobe Reader および Acrobat の脆弱性対策について(APSB14-20)(CVE-2014-0560等)
https://www.ipa.go.jp/security/ciadr/vul/20140917-adobereader.html
JPCERT/CC Alert 2014-09-17
Adobe Reader および Acrobat の脆弱性 (APSB14-20) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140036.html
複数の Apple 製品に脆弱性
複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- iOS 8 より前のバージョン
- Apple TV 7 より前のバージョン
- Xcode 6.0.1 より前のバージョン
- OS X Mavericks 10.9.5 より前のバージョン
- Safari 7.1 より前のバージョン
- Safari 6.2 より前のバージョン
- OS X Server 3.2.1 より前のバージョン
- OS X Server 2.2.3 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
Apple
Apple security updates
http://support.apple.com/kb/HT1222?viewlocale=en_US
FortiGate および FortiWiFi アプライアンスに複数の脆弱性
FortiGate および FortiWiFi アプライアンスの FortiOS には、複数の脆弱性
があります。結果として、遠隔の第三者が、任意のコードを実行したり、中間
者攻撃を実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- FortiOS 5.0.0 から 5.0.7 まで
- FortiOS 4.3.15 およびそれ以前
この問題は、Fortinet が提供する修正済みのバージョンに FortiOS を更新す
ることで解決します。詳細については、Fortinet が提供する情報を参照して
下さい。
Japan Vulnerability Notes JVNVU#96848844
FortiGate および FortiWiFi アプライアンスに複数の脆弱性
https://jvn.jp/vu/JVNVU96848844/index.html
Fortinet
FortiGate Vulnerabilities in FortiManager Service
https://www.fortiguard.com/advisory/FG-IR-14-006/
CENTUM および Exaopc に任意のファイルの読み書きが可能な脆弱性
横河電機株式会社が提供する CENTUM および Exaopc のバッチ管理プロセスに
は、任意のファイルの読み書きが可能な脆弱性があります。結果として、遠隔
の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性があり
ます。
対象となる製品およびバージョンは以下の通りです。
- CENTUM CS 3000 R3.09.50 およびそれ以前
- CENTUM CS 3000 Small R3.09.50 およびそれ以前
- CENTUM VP R4.03.00 およびそれ以前
- CENTUM VP R5.04.00 およびそれ以前
- CENTUM VP Small R4.03.00 およびそれ以前
- CENTUM VP Small R5.04.00 およびそれ以前
- CENTUM VP Basic R4.03.00 およびそれ以前
- CENTUM VP Basic R5.04.00 およびそれ以前
- Exaopc R3.72.10 およびそれ以前
横河電機株式会社によると、対応するパッチは 9月末から順次公開する予定と
のことです。以下の回避策を適用することで、本脆弱性の影響を軽減すること
が可能です。
- 20111/tcp へのアクセスを制限する
詳細については、横河電機株式会社が提供する情報を参照して下さい。
Yokogawa Security Advisory Report
YSAR-14-0003: CENTUM と Exaopc に任意のファイル読み書きの脆弱性
https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf
パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、独
立行政法人情報処理推進機構 (IPA) および JPCERT/CC は、複数のサービスに
おいて同じパスワードを使い回さないよう、インターネットサービス利用者に
向けて呼びかけています。
パスワードの使い回しによる不正ログインの被害を防ぐため、パスワードは使
い回しを避け、適切に管理するなどの対策を行うことをお勧めします。
JPCERT/CC Blog
A local awareness raising campaign launched to mitigate "password list-based attack"
http://blog.jpcert.or.jp/2014/09/a-local-awarene-02d1.html
「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
JPCERT/CC では、本日の Weekly Report でご紹介した「パスワードリスト攻
撃による不正ログイン防止に向けた呼びかけ」に続き、サービス事業者ととも
に利用者への呼びかけを行う「STOP!パスワード使い回し!」キャンペーンを開
始しました。本キャンペーンでは、ご賛同いただけるサービス事業者を募集し
ています。
なお、本キャンペーンは ID とパスワードを用いて、サービス利用者の認証を
行っているサービス提供事業者などを対象にしています。本キャンペーンにご
賛同いただける場合には、キャンペーンバナーの掲載等のご協力をお願いいた
します。
JPCERT/CC からのお知らせ
「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
https://www.jpcert.or.jp/pr/2014/pr140005.html