JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2016 > Weekly Report 2016-02-17号

最終更新: 2016-02-17

Weekly Report 2016-02-17号


JPCERT-WR-2016-0701
JPCERT/CC
2016-02-17

<<< JPCERT/CC WEEKLY REPORT 2016-02-17 >>>

■02/07(日)〜02/13(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Cisco Adaptive Security Appliance (ASA) にバッファオーバーフローの脆弱性

【4】Firefox に複数の脆弱性

【5】Node.js に複数の脆弱性

【今週のひとくちメモ】経済産業省が「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160701.txt
https://www.jpcert.or.jp/wr/2016/wr160701.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases February 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/02/09/Microsoft-Releases-February-2016-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft サーバー ソフトウェア
- Microsoft .NET Framework
- Microsoft Windows Adobe Flash Player

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを
適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2016 年 2 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/library/security/ms16-feb

JPCERT/CC Alert 2016-02-10
2016年2月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160007.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/02/09/Adobe-Releases-Security-Updates-Connect-Experience-Manager-Flash

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Photoshop CC 16.1.1 (2015.1.1) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Bridge CC 6.1.1 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player デスクトップランタイム 20.0.0.286 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.326 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.559 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 20.0.0.233 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK 20.0.0.233 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe AIR SDK & Compiler 20.0.0.233  およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe Experience Manager 6.1.0 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
- Adobe Experience Manager 6.0.0 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
- Adobe Experience Manager 5.6.1 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
- Adobe Connect 9.4.2 およびそれ以前 (Windows 版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Photoshop CC および Bridge CC で利用できるセキュリティアップデート
https://helpx.adobe.com/jp/security/products/photoshop/apsb16-03.html

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-04.html

Adobe セキュリティ情報
Adobe Experience Manager 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/experience-manager/apsb16-05.html

Adobe セキュリティ情報
Adobe Connect 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/connect/apsb16-07.html

JPCERT/CC Alert 2016-02-10
Adobe Flash Player の脆弱性 (APSB16-04) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160008.html

【3】Cisco Adaptive Security Appliance (ASA) にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/02/10/Cisco-Releases-Security-Update

概要

Cisco Adaptive Security Appliance (ASA) には、バッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が、細工した UDP パケットを
送信することで、任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- IKEv1 または IKEv2 を使って VPN を終端する Cisco ASA 製品

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性
Japan Vulnerability Notes JVNVU#90170158
https://jvn.jp/vu/JVNVU90170158/

関連文書 (英語)

Cisco Security Advisory
Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

【4】Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/02/11/Mozilla-Releases-Security-Updates

概要

Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、ユーザを細工したページへ誘導することで情報を取得
したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 44.0.2 より前のバージョン
- Firefox ESR 38.6.1 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Foundation セキュリティアドバイザリ 2016-13
サービスワーカーとプラグインの併用による同一配信元違反
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-13.html

Mozilla Foundation セキュリティアドバイザリ 2016-14
Graphite 2 における脆弱性
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-14.html

【5】Node.js に複数の脆弱性

情報源

Node.js
February 2016 Security Release Summary
https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/

概要

Node.js には複数の脆弱性があります。結果として、遠隔の第三者が HTTP 
リクエストスマグリング攻撃や HTTP レスポンス分割攻撃を行う可能性があり
ます。

対象となるバージョンは以下の通りです。

- Node.js v0.10.42 (Maintenance) より前のバージョン
- Node.js v0.12.10 (LTS) より前のバージョン
- Node.js v4.3.0 (LTS) より前のバージョン
- Node.js v5.6.0 (Stable) より前のバージョン

この問題は、Node.js が提供する修正済みのバージョンに Node.js を更新す
ることで解決します。詳細は、Node.js が提供する情報を参照してください。

■今週のひとくちメモ

○経済産業省が「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」公開

2016年2月8日、経済産業省は、「秘密情報の保護ハンドブック〜企業価値向上
に向けて〜」を公開しました。このハンドブックは、経営者や企業の担当者が
秘密情報の管理を行う際の参考となるよう、情報の整理の仕方や、その漏えい
対策、漏えいした場合の対応方法などをまとめたものです。

参考文献 (日本語)

経済産業省
秘密情報の保護ハンドブック〜企業価値向上に向けて〜
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/full.pdf

経済産業省
「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」を策定しました!
http://www.meti.go.jp/press/2015/02/20160208003/20160208003.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english