-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-3201
                                                                   JPCERT/CC
                                                                  2015-08-19

            <<< JPCERT/CC WEEKLY REPORT 2015-08-19 >>>

――――――――――――――――――――――――――――――――――――――
■08/09(日)〜08/15(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】Adobe Flash Player および Adobe Air に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】複数の Mozilla 製品に脆弱性
【5】Lenovo Service Engine (LSE) に任意のコードが実行可能な脆弱性
【今週のひとくちメモ】データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr153201.html
        https://www.jpcert.or.jp/wr/2015/wr153201.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases August 2015 Security Bulletin
      https://www.us-cert.gov/ncas/current-activity/2015/08/11/Microsoft-Releases-August-2015-Security-Bulletin

    概要
      複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Internet Explorer
      - Microsoft .NET Framework
      - Microsoft Office
      - Microsoft Lync
      - Microsoft Silverlight
      - Microsoft サーバー ソフトウェア
      - Microsoft Edge

      この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを
      適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2015 年 8 月のマイクロソフト セキュリティ情報の概要
      https://technet.microsoft.com/ja-jp/library/security/ms15-Aug

      JPCERT/CC Alert 2015-08-12
      2015年8月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150028.html

【2】Adobe Flash Player および Adobe Air に複数の脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates for Flash Player
      https://www.us-cert.gov/ncas/current-activity/2015/08/11/Adobe-Releases-Security-Updates-Flash-Player

    概要
      Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と
      して、遠隔の第三者が任意のコードを実行するなどの可能性があります。

      対象となるバージョンは以下の通りです。

      - Adobe Flash Player デスクトップランタイム 18.0.0.209 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 継続サポートリリース 13.0.0.309 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash PlayerLinux 11.2.202.491 およびそれ以前 (Linux 版)
      - Adobe AIR デスクトップランタイム 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe AIR SDK 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
      - Adobe AIR SDK & Compiler 18.0.0.180  およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb15-19.html

      JPCERT/CC Alert 2015-08-12
      Adobe Flash Player の脆弱性 (APSB15-19) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150029.html

【3】複数の Apple 製品に脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Security Updates for OS X Server, iOS, Safari, and Yosemite
      https://www.us-cert.gov/ncas/current-activity/2015/08/13/Apple-Releases-Security-Updates-OS-X-Server-iOS-Safari-and-Yosemite

    概要
      複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任
      意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの
      可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Safari 8.0.8 より前のバージョン
      - Safari 7.1.8 より前のバージョン
      - Safari 6.2.8 より前のバージョン
      - OS X Yosemite v10.10.4 およびそれ以前
      - OS X Mavericks v10.9.5 およびそれ以前
      - OS X Mountain Lion v10.8.5 およびそれ以前
      - iOS 8.4.1 より前のバージョン
      - OS X Server v4.1.5 より前のバージョン

      この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Apple が提供する情報を参照してください。

    関連文書 (英語)
      Apple
      About the security content of Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8
      https://support.apple.com/ja-jp/HT205033

      Apple
      About the security content of OS X Yosemite v10.10.5 and Security Update 2015-006
      https://support.apple.com/ja-jp/HT205031

      Apple
      About the security content of iOS 8.4.1
      https://support.apple.com/ja-jp/HT205030

      Apple
      About the security content of OS X Server v4.1.5
      https://support.apple.com/ja-jp/HT205032

【4】複数の Mozilla 製品に脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates for Firefox, Firefox ESR, and Firefox OS
      https://www.us-cert.gov/ncas/current-activity/2015/08/11/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and-Firefox

    概要
      複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
      能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Firefox 40 より前のバージョン
      - Firefox ESR 38.2 より前のバージョン
      - Firefox OS 2.2 より前のバージョン

      この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細は、Mozilla が提供する情報を参照してください。

    関連文書 (日本語)
      Mozilla Japan
      Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 11 日)
      http://www.mozilla-japan.org/security/announce/

【5】Lenovo Service Engine (LSE) に任意のコードが実行可能な脆弱性

    情報源
      US-CERT Current Activity
      Lenovo Service Engine (LSE) BIOS Vulnerability
      https://www.us-cert.gov/ncas/current-activity/2015/08/12/Lenovo-Service-Engine-LSE-BIOS-Vulnerability

    概要
      Lenovo 製品の BIOS に含まれる Lenovo Service Engine (LSE) には、脆弱性
      があります。結果として、遠隔の第三者が、任意のコードを実行する可能性が
      あります。

      対象となる製品は複数存在します。詳細は、Lenovo が提供する情報を参照し
      てください。

      この問題は、Lenovo LSE ディセーブラ ツール等を用いて Lenovo Service
      Engine (LSE) を無効にすることで解決します。詳細は、Lenovo が提供する情
      報を参照してください。

    関連文書 (日本語)
      Lenovo
      ノートブック用 LENOVO SERVICE ENGINE (LSE) BIOS
      https://support.lenovo.com/jp/ja/product_security/lse_bios_notebook

      Lenovo
      デスクトップ用 LENOVO SERVICE ENGINE (LSE) BIOS
      https://support.lenovo.com/jp/ja/product_security/lse_bios_desktop


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン」を公開

      2015年8月10日、データベース・セキュリティ・コンソーシアムは、「DB 内部
      不正対策ガイドライン」を公開しました。このガイドラインでは、内部不正対
      策の概要として「管理者の誘因」「管理者の抑制」「運用の実施」の 3つをあ
      げ、それぞれについて具体的に紹介しています。また、2015年8月31日まで、
      このガイドラインについてのパブリックコメントを募集しています。

    参考文献 (日本語)
      データベース・セキュリティ・コンソーシアム
      DB 内部不正対策ガイドライン
      http://www.db-security.org/report/antifraud_guide_rev0.9.pdf

      データベース・セキュリティ・コンソーシアム
      『DB内部不正対策ガイドライン 第0.9版』公開 及び ガイドラインに対するパブリックコメント募集について
      http://www.db-security.org/20150810news.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJV08nYAAoJEDF9l6Rp7OBI7JQH/2B8O40RpXO9vZtcDOs3dqBI
QY2mqOJtAU5az/JmFn8gfdkrZ7ByCYa2RGGR8WkJqs0I8nZs2PZpA92ZAvLOnvXE
R9opWts3NGmkaEW5h+rjN18R7V6SM0IGqjSKJSLC6knd5VkOkIOU5azke8z8KlwG
Jx4MePVoaqNdQZIWtlyTy8cYCH3JOkD0BmupNqAAlcXoHy7Zm/VkUSGkf8kLiSVa
ZcSrvGscrSVl1BiVirgxoUdqYYT/mBfB4O/03e7aYhIaJBgGtwF1y/BpRShAHqrb
Wko7C1Ds08RpzYRLh8qzJE6ncr3l7Q79mvb8tAayy9b//2QThH03MJPGqrmWycs=
=kfZy
-----END PGP SIGNATURE-----