-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2016-0701
                                                                   JPCERT/CC
                                                                  2016-02-17

            <<< JPCERT/CC WEEKLY REPORT 2016-02-17 >>>

――――――――――――――――――――――――――――――――――――――
■02/07(日)〜02/13(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Cisco Adaptive Security Appliance (ASA) にバッファオーバーフローの脆弱性
【4】Firefox に複数の脆弱性
【5】Node.js に複数の脆弱性
【今週のひとくちメモ】経済産業省が「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2016/wr160701.html
        https://www.jpcert.or.jp/wr/2016/wr160701.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases February 2016 Security Bulletin
      https://www.us-cert.gov/ncas/current-activity/2016/02/09/Microsoft-Releases-February-2016-Security-Bulletin

    概要
      複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Internet Explorer
      - Microsoft Edge
      - Microsoft Office
      - Microsoft Office Services および Web Apps
      - Microsoft サーバー ソフトウェア
      - Microsoft .NET Framework
      - Microsoft Windows Adobe Flash Player

      この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを
      適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2016 年 2 月のマイクロソフト セキュリティ情報の概要
      https://technet.microsoft.com/library/security/ms16-feb

      JPCERT/CC Alert 2016-02-10
      2016年2月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2016/at160007.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/02/09/Adobe-Releases-Security-Updates-Connect-Experience-Manager-Flash

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
      意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Photoshop CC 16.1.1 (2015.1.1) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Bridge CC 6.1.1 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player デスクトップランタイム 20.0.0.286 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 継続サポートリリース 18.0.0.326 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 11.2.202.559 およびそれ以前 (Linux 版)
      - Adobe AIR デスクトップランタイム 20.0.0.233 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe AIR SDK 20.0.0.233 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
      - Adobe AIR SDK & Compiler 20.0.0.233  およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
      - Adobe Experience Manager 6.1.0 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
      - Adobe Experience Manager 6.0.0 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
      - Adobe Experience Manager 5.6.1 およびそれ以前 (Windows 版、UNIX 版、Linux 版、OS X 版)
      - Adobe Connect 9.4.2 およびそれ以前 (Windows 版)

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Photoshop CC および Bridge CC で利用できるセキュリティアップデート
      https://helpx.adobe.com/jp/security/products/photoshop/apsb16-03.html

      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb16-04.html

      Adobe セキュリティ情報
      Adobe Experience Manager 用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/experience-manager/apsb16-05.html

      Adobe セキュリティ情報
      Adobe Connect 用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/connect/apsb16-07.html

      JPCERT/CC Alert 2016-02-10
      Adobe Flash Player の脆弱性 (APSB16-04) に関する注意喚起
      https://www.jpcert.or.jp/at/2016/at160008.html

【3】Cisco Adaptive Security Appliance (ASA) にバッファオーバーフローの脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Update
      https://www.us-cert.gov/ncas/current-activity/2016/02/10/Cisco-Releases-Security-Update

    概要
      Cisco Adaptive Security Appliance (ASA) には、バッファオーバーフローの
      脆弱性があります。結果として、遠隔の第三者が、細工した UDP パケットを
      送信することで、任意のコードを実行する可能性があります。

      対象となる製品は以下の通りです。

      - IKEv1 または IKEv2 を使って VPN を終端する Cisco ASA 製品

      この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細は、Cisco が提供する情報を参照してください。

    関連文書 (日本語)
      Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性
      Japan Vulnerability Notes JVNVU#90170158
      https://jvn.jp/vu/JVNVU90170158/

    関連文書 (英語)
      Cisco Security Advisory
      Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

【4】Firefox に複数の脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/02/11/Mozilla-Releases-Security-Updates

    概要
      Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
      のコードを実行したり、ユーザを細工したページへ誘導することで情報を取得
      したりするなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Firefox 44.0.2 より前のバージョン
      - Firefox ESR 38.6.1 より前のバージョン

      この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細は、Mozilla が提供する情報を参照してください。

    関連文書 (日本語)
      Mozilla Foundation セキュリティアドバイザリ 2016-13
      サービスワーカーとプラグインの併用による同一配信元違反
      http://www.mozilla-japan.org/security/announce/2016/mfsa2016-13.html

      Mozilla Foundation セキュリティアドバイザリ 2016-14
      Graphite 2 における脆弱性
      http://www.mozilla-japan.org/security/announce/2016/mfsa2016-14.html

【5】Node.js に複数の脆弱性

    情報源
      Node.js
      February 2016 Security Release Summary
      https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/

    概要
      Node.js には複数の脆弱性があります。結果として、遠隔の第三者が HTTP
      リクエストスマグリング攻撃や HTTP レスポンス分割攻撃を行う可能性があり
      ます。

      対象となるバージョンは以下の通りです。

      - Node.js v0.10.42 (Maintenance) より前のバージョン
      - Node.js v0.12.10 (LTS) より前のバージョン
      - Node.js v4.3.0 (LTS) より前のバージョン
      - Node.js v5.6.0 (Stable) より前のバージョン

      この問題は、Node.js が提供する修正済みのバージョンに Node.js を更新す
      ることで解決します。詳細は、Node.js が提供する情報を参照してください。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」公開

      2016年2月8日、経済産業省は、「秘密情報の保護ハンドブック〜企業価値向上
      に向けて〜」を公開しました。このハンドブックは、経営者や企業の担当者が
      秘密情報の管理を行う際の参考となるよう、情報の整理の仕方や、その漏えい
      対策、漏えいした場合の対応方法などをまとめたものです。

    参考文献 (日本語)
      経済産業省
      秘密情報の保護ハンドブック〜企業価値向上に向けて〜
      http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/full.pdf

      経済産業省
      「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」を策定しました！
      http://www.meti.go.jp/press/2015/02/20160208003/20160208003.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2016 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJWw8QkAAoJEDF9l6Rp7OBIJOEIAJL6sSxcnD4Ly/oCHQehCx2F
TNh6ZrqpBGhSfC0Xh0Pdg5tNjo6p1kTMD3UqVHq6LaBGGB+6PXecIAKDl0CThj2X
nxjcvksAhJadYygmWxO2q1ZTP9KUZwrDwILjRtP5zK9pPt6HgqQZH6TQ75xobOtR
qt86Mc2/F++7pjcjg5bmR0k0aOwV0NtRipdZV/5oLNXq0zuo6XSoEYLqw0a5arhD
xninpvwOIBeD/h3TNsLpwXpi9b2mssbkwP2iQg0bwLRjhr577qkC9UPQ/l81/1ml
aO9UWLTK6Sij5qi3d5N80B30gEn9kAw4mQ7xnEX3f3XDfEkUIm75svIU2v1EIAQ=
=lQQn
-----END PGP SIGNATURE-----