JPCERT-WR-2016-3101
2016-08-10
2016-07-31
2016-08-06
プロキシ自動設定ファイル (proxy.pac) を使用するブラウザに情報漏えいの脆弱性
プロキシ自動設定ファイル (proxy.pac) を使用するブラウザには情報漏えい
の脆弱性があります。結果として、遠隔の第三者が、悪意ある proxy.pac ファ
イルを使用させることで、情報を取得する可能性があります。
対象となる製品は以下の通りです。
- プロキシ自動設定ファイル (proxy.pac) が使用できるブラウザ
- WPAD に対応しているブラウザ
この問題は、該当するブラウザを、開発者が提供する修正済みのバージョンに
更新することで解決します。また、以下の回避策を適用することで、本脆弱性
の影響を軽減することが可能です。
- WPAD を使用しない
詳細は、開発者が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#90289707
プロキシ自動設定ファイル (proxy.pac) から完全な形の HTTPS URL へアクセスできる問題
https://jvn.jp/vu/JVNVU90289707/
Apple
About the security content of iOS 9.3.2
https://support.apple.com/en-us/HT206568
Google Chrome
Chrome Releases: Stable Channel Update
https://googlechromereleases.blogspot.jp/2016/07/stable-channel-update.html
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
たりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- VMware ESXi 6.0 ESXi600-201603102-SG より前のバージョン
- VMware ESXi 5.5 ESXi550-201608102-SG より前のバージョン
- VMware ESXi 5.1 ESXi510-201605102-SG より前のバージョン
- VMware ESXi 5.0 ESXi500-201606102-SG より前のバージョン
- VMware Workstation Pro 12.1.1 より前のバージョン
- VMware Workstation Player 12.1.1 より前のバージョン
- VMware Fusion 8.1.1 より前のバージョン
- VMware Tools 10.0.5 およびそれ以前
- VMware vCenter Server 6.0 U2 より前のバージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
VMware Security Advisories
VMSA-2016-0010
https://www.vmware.com/security/advisories/VMSA-2016-0010.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
たりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- RV110W Wireless-N VPN Firewall
- RV130W Wireless-N Multifunction VPN Router
- RV215W Wireless-N VPN Router
- RV180 VPN Router
- RV180W Wireless-N Multifunction VPN Router
- Unified Communications Manager IM and Presence Service 9.1(1) SU6
- Unified Communications Manager IM and Presence Service 9.1(1) SU6a
- Unified Communications Manager IM and Presence Service 9.1(1) SU7
- Unified Communications Manager IM and Presence Service 10.5(2) SU2
- Unified Communications Manager IM and Presence Service 10.5(2) SU2a
- Unified Communications Manager IM and Presence Service 11.0(1) SU1
- Unified Communications Manager IM and Presence Service 11.5(1)
- TelePresence Video Communication Server Expressway X8.5.2
- Prime Infrastructure Release 2.2(2)
この問題は、該当する製品のファームウェアを Cisco が提供する修正済みの
バージョンに更新することで解決します。詳細は、Cisco が提供する情報を参
照してください。
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv110_130w2
Cisco Security Advisory
Cisco RV180 VPN and RV180W Wireless-N Multifunction VPN Routers Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_2
Cisco Security Advisory
Cisco Unified Communications Manager IM and Presence Service SIP Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-ucm
Cisco Security Advisory
Cisco RV180 VPN and RV180W Wireless-N Multifunction VPN Routers Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_1
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Command Shell Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv110_130w1
Cisco Security Advisory
Cisco TelePresence Video Communication Server Expressway Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-vcse
Cisco Security Advisory
Cisco Prime Infrastructure Cross-Frame Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-cpi
Apple iOS にメモリ破損の脆弱性
Apple iOS には、メモリ破損の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- iOS 9.3.4 より前のバージョン
この問題は、iOS を Apple が提供する修正済みのバージョンに更新すること
で解決します。詳細は、Apple が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#99702250
Apple iOS にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU99702250/
Apple
About the security content of iOS 9.3.4
https://support.apple.com/en-us/HT207026
Mozilla Firefox に複数の脆弱性
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 48 より前のバージョン
- Firefox ESR 45.3 より前のバージョン
この問題は、Firefox を Mozilla が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 8 月 2 日)
http://www.mozilla-japan.org/security/announce/
Android ブラウザにサービス運用妨害 (DoS) の脆弱性
Android 4.3 およびそれ以前のバージョンで使用されている既定のウェブブラ
ウザには、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害
(DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Android ブラウザ 2.1
- Android ブラウザ 2.2
これらは単に「ブラウザ」、あるいは「AOSP Stock Browser」と呼ばれること
もあります。
2016年8月9日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- Android ブラウザを使用しない
詳細は、ベンダや配布元が提供する情報を参照してください。
Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性
AirMedia Presentation Gateway AM-100 には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意のファイルにアクセスしたり、任意のコード
を実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- AirMedia Presentation Gateway AM-100 firmware version 1.4.0.13 より前のバージョン
この問題は、AirMedia Presentation Gateway AM-100 のファームウェアを、
Crestron Electronics が提供する修正済みのバージョンに更新することで解
決します。詳細は、Crestron Electronics が提供する情報を参照してくださ
い。
Japan Vulnerability Notes JVNVU#97169528
Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性
https://jvn.jp/vu/JVNVU97169528/
Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
Crestron Electronics DM-TXRX-100-STR には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意の操作を実行する可能性があります。
対象となるバージョンは以下の通りです。
- DM-TXRX-100-STR firmware version 1.2866.00026 およびそれ以前
この問題は、DM-TXRX-100-STR のファームウェアを、Crestron Electronics
が提供する修正済みのバージョンに更新することで解決します。ただし、問題
の一部は 2016年8月9日現在、修正されていません。詳細は、Crestron
Electronics が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#93291811
Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
https://jvn.jp/vu/JVNVU93291811/
STOP!! パスワード使い回し!! - そのパスワードを知っているのは、本当にあなただけですか? -
JPCERT/CC では、「STOP!! パスワード使い回し!!」と題して、複数のインター
ネットサービスで同じアカウント ID、パスワードを使い回さないよう呼びか
けています。この呼びかけは、パスワードリスト攻撃による不正ログインの被
害が減らないことを受け、2014年から行っているものです。複数のサービスで
同一のパスワードを使用していないか、また単純なパスワードを使用していな
いか、この機会にご確認ください。
JPCERT/CC
STOP!! パスワード使い回し!!キャンペーン2016 - そのパスワードを知っているのは、本当にあなただけですか? -
https://www.jpcert.or.jp/pr/2016/pr160003.html
JPCERT/CC
STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html