JPCERT-WR-2016-1901
2016-05-18
2016-05-08
2016-05-14
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft .NET Framework
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2016 年 5 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-may
JPCERT/CC Alert 2016-05-11
2016年 5月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160022.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Flash Player デスクトップランタイム 21.0.0.226 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.343 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.616 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 21.0.0.198 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK 21.0.0.198 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe AIR SDK & Compiler 21.0.0.198 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe Acrobat DC 連続トラック 15.010.20060 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC 連続トラック 15.010.20060 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC クラシック 15.006.30121 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC クラシック 15.006.30121 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat XI デスクトップ 11.0.15 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader XI デスクトップ 11.0.15 およびそれ以前 (Windows 版、Macintosh 版)
- ColdFusion (2016 リリース) 2016.0.0
- ColdFusion 11 アップデート 7 およびそれ以前
- ColdFusion 10 アップデート 18 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb16-14.html
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-15.html
Adobe セキュリティ情報
セキュリティアップデート:ColdFusion用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-16.html
JPCERT/CC Alert 2016-05-11
Adobe Reader および Acrobat の脆弱性 (APSB16-14) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160023.html
JPCERT/CC Alert 2016-05-13
Adobe Flash Player の脆弱性 (APSB16-15) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160024.html
Apache Cordova iOS に複数の脆弱性
Apache Cordova iOS には、脆弱性があります。結果として、遠隔の第三者が、
細工した URL にユーザを誘導することで、任意のプラグインを実行したり、
アクセス制限を回避したりする可能性があります。
対象となるバージョンは以下の通りです。
- Cordova iOS バージョン 3.9.2 およびそれ以前
この問題は、The Apache Software Foundation が提供する修正済みのバージョン
に Cordova iOS を更新し、アプリケーションをリビルドすることで解決しま
す。詳細は、The Apache Software Foundation が提供する情報を参照してく
ださい。
The Apache Software Foundation
CVE announcements for Cordova iOS - Apache Cordova
https://cordova.apache.org/announcements/2016/04/27/security.html
WordPress 用プラグイン「Ninja Forms」に PHP オブジェクトインジェクションの脆弱性
WordPress 用プラグイン「Ninja Forms」には、PHP オブジェクトインジェク
ションの脆弱性があります。結果として、遠隔の第三者が、任意の PHP コー
ドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Ninja Forms Version 2.9.36 から 2.9.42 まで
この問題は、WP Ninjas, LLC. が提供する修正済みのバージョンに Ninja Forms
を更新することで解決します。詳細は、WP Ninjas, LLC. が提供する情報を参
照してください。
Ninja Forms
Important Security Update or You Always Hurt the Ones You Love
https://ninjaforms.com/important-security-update-always-hurt-ones-love/
FileMaker Server に PHP ソースコードが閲覧可能な問題
FileMaker Server には、ソースコードが閲覧可能な脆弱性があります。結果
として、遠隔の第三者が、FileMaker Server のソースコードを閲覧する可能
性があります。
対象となるバージョンは以下の通りです。
- OS X 版 FileMaker Server 14.0.4 より前のバージョン
この問題は、FileMaker, Inc. が提供する修正済みのバージョンに FileMaker
Server を更新することで解決します。詳細は、FileMaker, Inc. が提供する
情報を参照してください。
FileMaker
Software Update: FileMaker Server 14.0.4
http://help.filemaker.com/app/answers/detail/a_id/15364
無線 LAN ルータ WN-G300R シリーズにクロスサイトスクリプティングの脆弱性
無線 LAN ルータ WN-G300R シリーズには、クロスサイトスクリプティングの
脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- WN-G300R ファームウェア Ver.1.12 およびそれ以前
- WN-G300R2 ファームウェア Ver.1.12 およびそれ以前
- WN-G300R3 ファームウェア Ver.1.01 およびそれ以前
この問題は、株式会社アイ・オー・データ機器が提供する修正済みのバージョン
に該当する製品のファームウェアを更新することで解決します。詳細は、株式
会社アイ・オー・データ機器が提供する情報を参照してください。
株式会社アイ・オー・データ機器
無線ルーター「WN-G300R」、「WN-G300R2」、「WN-G300R3」セキュリティの脆弱性について
http://www.iodata.jp/support/information/2016/wn-g300r_xss/
無線 LAN ルータ WN-GDN/R3 シリーズの WPS 機能に脆弱性
無線 LAN ルータ WN-GDN/R3 シリーズの WPS 機能には、PIN 認証試行回数が
制限されていない脆弱性があります。結果として、機器の無線 LAN 到達範囲
にいる第三者が、PIN 認証に対してブルートフォース攻撃を実行する可能性が
あります。
対象となる製品は以下の通りです。
- WN-GDN/R3
- WN-GDN/R3-S
- WN-GDN/R3-U
- WN-GDN/R3-C
2016年5月17日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を回避することが可能です。
- WPS 機能を無効にする
詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。
株式会社アイ・オー・データ機器
無線ルーター「WN-GDN/R3」セキュリティの脆弱性について
http://www.iodata.jp/support/information/2016/wn-gdnr3_bfa/
SAP 製品に対する攻撃について
2016年5月11日、US-CERT は「Exploitation of SAP Business Applications」
を公開しました。このアラートは、Onapsis 社のレポートをもとに公開された
もので、少なくとも 36 の組織が SAP 製品に関する脆弱性の影響を受けてい
ることが報告されています。
この脆弱性は、SAP 社が 2010年に対策を提供していますが、古いバージョン
のまま、あるいは適切な設定をしないまま運用されている SAP システムでは、
遠隔の第三者が、システムの不正な操作を行うなどの可能性があります。
US-CERT Alert (TA16-132A)
Exploitation of SAP Business Applications
https://www.us-cert.gov/ncas/alerts/TA16-132A
Japan Vulnerability Notes JVNTA#91951276
SAP 製品に対する攻撃
https://jvn.jp/ta/JVNTA91951276/