-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4001 JPCERT/CC 2015-10-21 <<< JPCERT/CC WEEKLY REPORT 2015-10-21 >>> ―――――――――――――――――――――――――――――――――――――― ■10/11(日)〜10/17(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Apple 製品に脆弱性 【4】Firefox に情報漏えいを引き起こす脆弱性 【5】アバストにディレクトリトラバーサルの脆弱性 【6】QNAP QTS にパストラバーサルの脆弱性 【7】eXtplorer にクロスサイトリクエストフォージェリの脆弱性 【今週のひとくちメモ】日本版 「STOP. THINK. CONNECT. 立ち止まって、考えて、ネットを楽しむためのクイズ」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154001.html https://www.jpcert.or.jp/wr/2015/wr154001.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases October 2015 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2015/10/13/Microsoft-Releases-October-2015-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft サーバー ソフトウェア この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを 適用することで解決します。詳細は、Microsoft が提供する情報を参照してく ださい。 関連文書 (日本語) マイクロソフト株式会社 2015 年 10 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms15-Oct JPCERT/CC Alert 2015-10-14 2015年10月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150034.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Reader, Acrobat, and Flash Player https://www.us-cert.gov/ncas/current-activity/2015/10/13/Adobe-Releases-Security-Updates-Reader-and-Acrobat US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/10/16/Adobe-Releases-Security-Updates-Flash-Player 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 細工したコンテンツをユーザに開かせることによって、任意のコードを実行す るなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Acrobat DC Continuous 2015.008.20082 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC Continuous 2015.008.20082 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat DC Classic 2015.006.30060 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC Classic 2015.006.30060 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat XI 11.0.12 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader XI 11.0.12 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat X 10.1.15 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader X 10.1.15 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player デスクトップランタイム 19.0.0.207 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.252 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.535 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 19.0.0.190 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 19.0.0.190 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) - Adobe AIR SDK & Compiler 19.0.0.190 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2015-10-14 Adobe Reader および Acrobat の脆弱性 (APSB15-24) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150035.html JPCERT/CC Alert 2015-10-14 Adobe Flash Player の脆弱性 (APSB15-25) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150036.html JPCERT/CC Alert 2015-10-19 Adobe Flash Player の脆弱性 (APSB15-27) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150037.html 関連文書 (英語) Adobe Security Bulletin Security Updates Available for Adobe Acrobat and Reader https://helpx.adobe.com/security/products/acrobat/apsb15-24.html Adobe Security Bulletin Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-25.html Adobe Security Bulletin Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-27.html 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for Keynote, Pages, and Numbers https://www.us-cert.gov/ncas/current-activity/2015/10/15/Apple-Releases-Security-Updates-Keynote-Pages-and-Numbers 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 細工したコンテンツをユーザに開かせることによって、任意のコードを実行す るなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Keynote 6.6 より前のバージョン - Pages 5.6 より前のバージョン - Numbers 3.6 より前のバージョン - iWork for iOS 2.6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of Keynote 6.6, Pages 5.6, Numbers 3.6, and iWork for iOS 2.6 https://support.apple.com/ja-jp/HT205373 【4】Firefox に情報漏えいを引き起こす脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Firefox https://www.us-cert.gov/ncas/current-activity/2015/10/15/Mozilla-Releases-Security-Update-Firefox 概要 Firefox には、クロスオリジンリソース共有 (CORS) 仕様を適切に実装してい ない問題があります。結果として、遠隔の第三者が、細工したページをユーザ にアクセスさせることで、ユーザの情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 41.0.2 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Fetch を用いたクロスオリジン制限回避 http://www.mozilla-japan.org/security/announce/2015/mfsa2015-115.html 【5】アバストにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#25576608 アバストにおけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN25576608/ 概要 アバストには、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者が、任意のファイルを削除する可能性があります。 対象となるバージョンは以下の通りです。 - アバスト ウイルス定義ファイル ID 150918-0 より前のバージョン この問題は、AVAST Software s.r.o. が提供する修正済みのバージョンにアバ ストのウイルス定義ファイルを更新することで解決します。詳細は、AVAST Software s.r.o. が提供する情報を参照してください。 【6】QNAP QTS にパストラバーサルの脆弱性 情報源 CERT/CC Vulnerability Note VU#751328 QNAP QTS is vulnerable to a path traversal attack when used with the AFP protocol and OS X http://www.kb.cert.org/vuls/id/751328 概要 QNAP QTS には、パストラバーサルの脆弱性があります。結果として、遠隔の 第三者が、機器上の任意のファイルを操作するなどの可能性があります。この 問題は、Apple Filing Protocol (AFP) を有効にしているユーザのみが影響を 受けます。 対象となる製品およびバージョンは以下の通りです。 - QNAP QTS バージョン 4.1.4 Build 0910 より前のバージョン - QNAP QTS バージョン 4.2.0 RC2 Build 0910 より前のバージョン この問題は、QNAP Systems, Inc. が提供する修正済みのバージョンに QNAP QTS を更新することで解決します。詳細は、QNAP Systems, Inc. が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96884018 QNAP QTS にパストラバーサルの脆弱性 https://jvn.jp/vu/JVNVU96884018/ 関連文書 (英語) QNAP Systems, Inc. Security vulnerabilities addressed in QTS 4.1.4 Build 0910 and 4.2.0 RC2 (Build 0910) https://www.qnap.com/i/en/support/con_show.php?cid=85 【7】eXtplorer にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#92520335 eXtplorer におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN92520335/ 概要 eXtplorer には、クロスサイトリクエストフォージェリの脆弱性があります。 結果として、遠隔の第三者が、当該製品にログインした状態のユーザに細工し たコンテンツを開かせることで、ユーザの意図しない操作を行う可能性があり ます。 対象となるバージョンは以下の通りです。 - eXtplorer 2.1.7 およびそれ以前 この問題は、eXtplorer Team が提供する修正済みのバージョンに eXtplorer を更新することで解決します。詳細は、eXtplorer Team が提供する情報を参 照してください。 関連文書 (英語) eXtplorer Team eXtplorer 2.1.8 released http://extplorer.net/news/18 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日本版 「STOP. THINK. CONNECT. 立ち止まって、考えて、ネットを楽しむためのクイズ」公開 2015年10月14日、フィッシング対策協議会は日本版 「STOP. THINK. CONNECT. 立ち止まって、考えて、ネットを楽しむためのクイズ」を公開しました。本ク イズは、中学生程度の年齢を対象に、インターネットを安全に利用するための ルールやマナー、セキュリティなどについての学習資料で、国際的なセキュリ ティ普及啓発キャンペーン「STOP. THINK. CONNECT.」の一環として作成され たものです。 参考文献 (日本語) STOP. THINK. CONNECT. 日本版 「STOP. THINK. CONNECT. 立ち止まって、考えて、ネットを楽しむためのクイズ」 https://member.antiphishing.jp/about_ap/stc_jpn_online_safety_quiz.pdf フィッシング対策協議会 フィッシング対策協議会、日本版 「STOP. THINK. CONNECT. 立ち止まって、考えて、ネットを楽しむためのクイズ」を公開 https://www.antiphishing.jp/news/info/stc_jpn_online_safety_quiz.html JPCERT/CC WEEKLY REPORT ひとくちメモ 2014-12-10 日本版「STOP. THINK. CONNECT.」サイト公開 https://www.jpcert.or.jp/tips/2014/wr144801.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWJtq4AAoJEDF9l6Rp7OBIV3MH/iXmvl2lOlRsMkTy/eNF6jTK SfOmXN5VPYls1JPRWsgR5jT/S5wCMdJ72sJ62z9T0tM5ZNsNzjGpN7K+Cm2Ma81h zX2oz2483+uC2ON6uN4/n55fH4i57Fe5z44INJ3V4jW43eszCuZuTfv5wsMr83/3 cG56Tw1dso07koa4ex0uOXqc1igVWI84F6j2HfJBumYf/WdJGwuVMCZs/h6uN3y6 rR7muCJJubNbYG1gRMC0wOZeTLl1LYOKLQ/eNjM9CeM8gtJAn3zYMsN47S4fVfgW hkGJkP6lPsXLI99kTKV4GcS0mIl5nONb0rIhxR7wrBIeiNxehAYqFsrPCmRsEqg= =X7YQ -----END PGP SIGNATURE-----