-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-4801
                                                                   JPCERT/CC
                                                                  2015-12-16

            <<< JPCERT/CC WEEKLY REPORT 2015-12-16 >>>

――――――――――――――――――――――――――――――――――――――
■12/06(日)〜12/12(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】Adobe Flash Player および Adobe AIR に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】WL-330NUL に複数の脆弱性
【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr154801.html
        https://www.jpcert.or.jp/wr/2015/wr154801.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases December 2015 Security Bulletin
      https://www.us-cert.gov/ncas/current-activity/2015/12/08/Microsoft-Releases-December-2015-Security-Bulletin

    概要
      複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Microsoft Office
      - Internet Explorer
      - Microsoft Edge
      - Microsoft .NET Framework
      - Skype for Business
      - Microsoft Lync
      - Silverlight

      この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
      とで解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2015 年 12 月のマイクロソフト セキュリティ情報の概要
      https://technet.microsoft.com/ja-jp/library/security/ms15-dec

      JPCERT/CC Alert 2015-12-09
      2015年12月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150041.html

【2】Adobe Flash Player および Adobe AIR に複数の脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates for Flash Player
      https://www.us-cert.gov/ncas/current-activity/2015/12/08/Adobe-Releases-Security-Updates-Flash-Player

    概要
      Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と
      して、遠隔の第三者が、任意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Flash Player デスクトップランタイム 19.0.0.245 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 継続サポートリリース 18.0.0.261 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash PlayerLinux 11.2.202.548 およびそれ以前 (Linux 版)
      - Adobe AIR デスクトップランタイム 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe AIR SDK 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
      - Adobe AIR SDK & Compiler 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
      - Adobe AIR 19.0.0.241 およびそれ以前 (Android 版)

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb15-32.html

      JPCERT/CC Alert 2015-12-09
      Adobe Flash Player の脆弱性 (APSB15-32) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150042.html

【3】複数の Apple 製品に脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Mutliple Security Updates
      https://www.us-cert.gov/ncas/current-activity/2015/12/08/Apple-Releases-Multiple-Security-Updates

      US-CERT Current Activity
      Apple Releases Security Update for iTunes
      https://www.us-cert.gov/ncas/current-activity/2015/12/11/Apple-Releases-Security-Update-iTunes

    概要
      複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - iOS 9.2 より前のバージョン
      - tvOS 9.1 より前のバージョン
      - OS X El Capitan 10.11.2 より前のバージョン
      - watchOS 2.1 より前のバージョン
      - Safari 9.0.2 より前のバージョン
      - Xcode 7.2 より前のバージョン
      - iTunes 12.3.2 より前のバージョン

      この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Apple が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#97526033
      複数の Apple 製品の脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU97526033/

    関連文書 (英語)
      Apple
      About the security content of iOS 9.2
      https://support.apple.com/HT205635

      Apple
      About the security content of tvOS 9.1
      https://support.apple.com/HT205640

      Apple
      About the security content of OS X El Capitan 10.11.2, Security Update 2015-005 Yosemite, and Security Update 2015-008 Mavericks
      https://support.apple.com/HT205637

      Apple
      About the security content of watchOS 2.1
      https://support.apple.com/HT205641

      Apple
      About the security content of Safari 9.0.2
      https://support.apple.com/HT205639

      Apple
      About the security content of Xcode 7.2
      https://support.apple.com/HT205642

      Apple
      About the security content of iTunes 12.3.2
      https://support.apple.com/HT205636

【4】WL-330NUL に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#89965717
      WL-330NUL におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN89965717/

      Japan Vulnerability Notes JVN#85359294
      WL-330NUL におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN85359294/

      Japan Vulnerability Notes JVN#34489380
      WL-330NUL において任意のコマンドを実行される脆弱性
      https://jvn.jp/jp/JVN34489380/

      Japan Vulnerability Notes JVN#69462495
      WL-330NUL における情報管理不備の脆弱性
      https://jvn.jp/jp/JVN69462495/

    概要
      WL-330NUL には、複数の脆弱性があります。結果として、遠隔の第三者が、任
      意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
      ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

      対象となるバージョンは以下の通りです。

      - WL-330NUL Firmware version 3.0.0.42 より前のバージョン

      この問題は、ASUS JAPAN株式会社が提供する修正済みのバージョンに WL-330NUL
      のファームウェアを更新することで解決します。詳細は、ASUS JAPAN株式会社
      が提供する情報を参照してください。

    関連文書 (日本語)
      ASUS JAPAN株式会社
      無線 LAN ポータブルルータWL-330NULの脆弱性に対する対策済みファームウェア適用のお願い
      https://www.asus.com/jp/News/FX04LE8HN0qBoqFI

【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#377260
      Up.time agent for Windows contains multiple vulnerabilities
      https://www.kb.cert.org/vuls/id/377260

    概要
      Uptime Infrastructure Monitor (旧称 up.time) には、複数の脆弱性があり
      ます。結果として、遠隔の第三者が、任意のコードを実行したり、システム情
      報を取得したりするなどの可能性があります。

      対象となる製品は以下の通りです。

      - Uptime Infrastructure Monitor の Windows 向けエージェント

      この問題の一部は、Idera が提供する修正済みのバージョンに Uptime Infrastructure
      Monitor の Windows 向けエージェントを更新することで解決します。また、
      以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

      - データ読み取り専用で動作させる
      - パスワードを設定する
      - 通信を SSL により暗号化するなど、適切に設定する
      - 使用する予定のないコマンドを無効にする

      詳細は、Idera が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#99135508
      Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
      https://jvn.jp/vu/JVNVU99135508/

    関連文書 (英語)
      Idera
      Securing the Linux agent (tcpwrappers and ssl)
      http://docs.uptimesoftware.com/pages/viewpage.action?pageId=4555083

      Idera
      Securing the Windows Agent with SSL
      http://docs.uptimesoftware.com/display/KB/Securing+the+Windows+Agent+with+SSL

【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#70083512
      「アクセス解析」におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN70083512/

    概要
      「アクセス解析」には、クロスサイトスクリプティングの脆弱性があります。
      結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
      する可能性があります。

      対象となる製品は以下の通りです。

      - 「アクセス解析」サービスを利用するための JavaScript

      2015年12月16日現在、「アクセス解析」のサービスは終了しています。「アク
      セス解析」サービスを利用するための JavaScript を削除してください。

    関連文書 (日本語)
      株式会社NTTデータ・スマートソーシング
      旧・株式会社NTTデータキュビットがご提供していた「アクセス解析」旧ご利用者様への脆弱性に関するお知らせ
      http://www.nttdata-smart.co.jp/information/2015/000040.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施

      2015年12月7日、内閣サイバーセキュリティセンター (NISC) は、重要インフ
      ラにおける分野横断的演習を実施しました。この演習は、サイバー攻撃を想定
      した、情報通信、金融、電力、医療などの重要インフラ 13分野の事業者など
      が参加する共同演習です。10回目を迎える今回は、302組織 1,168名が参加し、
      標的型攻撃や DDoS 攻撃などのサイバー攻撃により IT 障害が発生した際の対
      処の手順や役割分担の検証などを行いました。

    参考文献 (日本語)
      内閣サイバーセキュリティセンター (NISC)
      重要インフラにおける分野横断的演習の実施概要について 〜【2015 年度分野横断的演習】〜
      http://www.nisc.go.jp/active/infra/pdf/bunya_enshu2015gaiyou.pdf

      内閣サイバーセキュリティセンター (NISC)
      2015年度 分野横断的演習について
      http://www.nisc.go.jp/conference/cs/ciip/dai02/pdf/02shiryou03.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJWcK3eAAoJEDF9l6Rp7OBIO/IH/3VTAoaXrgjt3GutdwsMyVqh
V5axxA+HQXnfUV+dbQ+ArniSoLpw9UA5G3ddw2XIMq1XCU0347xH0iKbPZsJkhgC
dqJfzg8kZfBzSKMXlTsug4hslRtjMD91hwZKBgy5Mzawzb26qoc7IHaDhF1rP+2c
lipgcH6KRIIVp1ScZ61PtnoCKF4v63j4JUuHlZaHlKi1WCT6CgPXiAsE/qzjYA4t
YMOyUs4ECKDojQkWwU9TKtbcdVtx67coGcHiCdQnpIecT4IOwAIA7lcGuLiPsSZM
WLKXWBEO3y5HqVXRh2YLthKuOkqxnzkdbTvqT4vFATuhfFt6lNn3wXWcNY+C4c4=
=rHr/
-----END PGP SIGNATURE-----