-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2018-2301
                                                                   JPCERT/CC
                                                                  2018-06-20

            <<< JPCERT/CC WEEKLY REPORT 2018-06-20 >>>

――――――――――――――――――――――――――――――――――――――
■06/10(日)〜06/16(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】Google Chrome にメモリ境界外への書き込みを行う脆弱性
【3】ISC BIND 9 に再帰的問い合わせが不適切に許可される脆弱性
【4】Xcode に複数の脆弱性
【5】VMware AirWatch Agent に任意のコードが実行可能な脆弱性
【6】Intel Core ベースのマイクロプロセッサに投機的実行機能に関する脆弱性
【7】LINE PC版 (Windows版) に DLL 読み込みに関する脆弱性
【8】Zenphoto にローカルファイルインクルージョンの脆弱性
【9】iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】日本ネットワークセキュリティ協会が「SECCON 2018」の実施計画を公表

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2018/wr182301.html
        https://www.jpcert.or.jp/wr/2018/wr182301.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases June 2018 Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/06/12/Microsoft-Releases-June-2018-Security-Updates

    概要
      複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
      が任意のコードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Internet Explorer
      - Microsoft Edge
      - Microsoft Windows
      - Microsoft Office、Microsoft Office Services および Web Apps
      - ChakraCore

      この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
      で解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2018 年 6 月のセキュリティ更新プログラム
      https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/7d4489d6-573f-e811-a96f-000d3a33c573

      JPCERT/CC Alert 2018-06-13
      2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180025.html

【2】Google Chrome にメモリ境界外への書き込みを行う脆弱性

    情報源
      US-CERT Current Activity
      Google Releases Security Update for Chrome
      https://www.us-cert.gov/ncas/current-activity/2018/06/13/Google-Releases-Security-Update-Chrome

    概要
      Google Chrome には、メモリ境界外への書き込みを行う脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 67.0.3396.87 より前のバージョン (Windows 版、Macintosh 版 および Linux 版)

      この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
      新することで解決します。詳細は、Google が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2018/06/stable-channel-update-for-desktop_12.html

【3】ISC BIND 9 に再帰的問い合わせが不適切に許可される脆弱性

    情報源
      US-CERT Current Activity
      ISC Releases Security Advisory for BIND
      https://www.us-cert.gov/ncas/current-activity/2018/06/13/ISC-Releases-Security-Advisory-BIND

    概要
      ISC BIND 9 には、再帰的問い合わせが不適切に許可される脆弱性があります。
      結果として、遠隔の第三者が機微な情報を取得する可能性があります。

      対象となるバージョンは次のとおりです。

      - BIND 9.9.12
      - BIND 9.10.7
      - BIND 9.11.3
      - BIND 9.12.0 から 9.12.1-P2
      - BIND the development release 9.13.0
      - BIND 9.9.12-S1
      - BIND 9.10.7-S1
      - BIND 9.11.3-S1
      - BIND 9.11.3-S2

      2018年6月19日現在、この問題が解決済みのバージョンは公開されていません
      が、正式リリース候補である rc 版はリリースされています。また、次の回避
      策を適用することで、本脆弱性の影響を軽減することが可能です。

      - 固有の設定をする必要がなければ "allow-query {localnets; localhost;};" を設定する
      - allow-recursion、allow-query、allow-query-cache を明示的に設定する
      - 再帰的問い合わせを受け付ける必要がなければ "recursion no;" を設定する

      詳細は、ISC が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#92227071
      ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
      https://jvn.jp/vu/JVNVU92227071/

      JPCERT/CC CyberNewsFlash
      ISC BIND 9 の脆弱性 (CVE-2018-5738) について
      https://www.jpcert.or.jp/newsflash/2018061302.html

    関連文書 (英語)
      ISC
      CVE-2018-5738: Some versions of BIND can improperly permit recursive query service to unauthorized clients
      https://kb.isc.org/article/AA-01616

      ISC
      BIND 9.9.13rc1 Release Notes
      https://kb.isc.org/article/AA-01619

      ISC
      BIND 9.10.8rc1 Release Notes
      https://kb.isc.org/article/AA-01618

      ISC
      BIND 9.11.4rc1 Release Notes
      https://kb.isc.org/article/AA-01620

      ISC
      BIND 9.12.2rc1 Release Notes
      https://kb.isc.org/article/AA-01621

      ISC
      BIND 9.13.1 Release Notes
      https://kb.isc.org/article/AA-01622

【4】Xcode に複数の脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Security Update for Xcode
      https://www.us-cert.gov/ncas/current-activity/2018/06/13/Apple-Releases-Security-Update-Xcode

    概要
      Xcode には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Xcode 9.4.1 より前のバージョン

      この問題は、Xcode を Apple が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、Apple が提供する情報を参照してください。

    関連文書 (日本語)
      Apple
      Xcode 9.4.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT208895

【5】VMware AirWatch Agent に任意のコードが実行可能な脆弱性

    情報源
      US-CERT Current Activity
      VMware Releases Security Update
      https://www.us-cert.gov/ncas/current-activity/2018/06/12/VMware-Releases-Security-Update

    概要
      VMware AirWatch Agent には、遠隔の第三者によって任意のコードを実行可能
      な脆弱性があります。

      対象となるバージョンは次のとおりです。

      - VMware AirWatch Agent 8.2 より前のバージョン (Android 版)
      - VMware AirWatch Agent 6.5.2 より前のバージョン (Windows Mobile 版)

      この問題は、VMware AirWatch Agent を VMware が提供する修正済みのバー
      ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
      してください。

    関連文書 (英語)
      VMware
      VMSA-2018-0015
      https://www.vmware.com/security/advisories/VMSA-2018-0015.html

【6】Intel Core ベースのマイクロプロセッサに投機的実行機能に関する脆弱性

    情報源
      US-CERT Current Activity
      Intel Releases Security Advisory on Lazy FP State Restore Vulnerability
      https://www.us-cert.gov/ncas/current-activity/2018/06/13/Intel-Releases-Security-Advisory-Lazy-FP-State-Restore

    概要
      Intel Core ベースのマイクロプロセッサには、投機的実行機能に関する脆弱
      性があります。結果として、第三者が機微な情報を取得する可能性があります。

      対象となる製品は次のとおりです。

      - Intel Core ベースのマイクロプロセッサ

      この問題に対して、Intel や当該製品を使用するベンダから、対策に関する情
      報が公開されています。修正済みのバージョンが公開されている場合は適用す
      ることをおすすめします。詳細は、Intel や各ベンダが提供する情報を参照し
      てください。

    関連文書 (英語)
      Intel
      Lazy FP state restore
      https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html

【7】LINE PC版 (Windows版) に DLL 読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#92265618
      LINE PC版 (Windows版) における DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN92265618/

    概要
      LINE PC版 (Windows版) には、DLL 読み込みに関する脆弱性があります。結果
      として、第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - LINE PC版（Windows版）バージョン 5.8.0 より前のバージョン

      この問題は、LINE PC版 (Windows版) を LINE株式会社が提供する修正済みの
      バージョンに更新することで解決します。LINE株式会社によると、2018年5月
      31日に修正済みのバージョンを公開しており、当該製品の起動時に自動的にアッ
      プデートが適用されるとのことです。詳細は、LINE株式会社が提供する情報を
      参照してください。

    関連文書 (日本語)
      LINE株式会社
      【脆弱性情報】 LINE PC版（Windows）の脆弱性と修正完了に関するお知らせ
      https://linecorp.com/ja/security/article/171

【8】Zenphoto にローカルファイルインクルージョンの脆弱性

    情報源
      Japan Vulnerability Notes JVN#33124193
      Zenphoto におけるローカルファイルインクルージョンの脆弱性
      https://jvn.jp/jp/JVN33124193/

    概要
      Zenphoto には、ローカルファイルインクルージョンの脆弱性があります。結
      果として、管理者権限を持つユーザが、機微な情報を取得したり、任意のコー
      ドを実行したりする可能性があります。

      対象となるバージョンは次のとおりです。

      - Zenphoto 1.4.14 およびそれ以前

      この問題は、Zenphoto を開発者が提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      Zenphoto
      Zenphoto 1.5
      https://www.zenphoto.org/news/zenphoto-1.5

【9】iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#71535108
      iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
      https://jvn.jp/jp/JVN71535108/

    概要
      iOS アプリ「ANA」には、SSL サーバ証明書の検証不備の脆弱性があります。
      結果として、遠隔の第三者が通信内容を取得したり、改ざんしたりするなどの
      可能性があります。

      対象となるバージョンは次のとおりです。

      - iOS アプリ「ANA」バージョン 4.0.22 およびそれ以前

      この問題は、iOS アプリ「ANA」を全日本空輸株式会社が提供する修正済みの
      バージョンに更新することで解決します。詳細は、全日本空輸株式会社が提供
      する情報を参照してください。

    関連文書 (日本語)
      全日本空輸株式会社
      ANA
      https://itunes.apple.com/jp/app/id382028327

      全日本空輸株式会社
      スマートフォン用アプリケーション「ANA」
      https://www.ana.co.jp/share/mobile/smartphone/app_ana/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本ネットワークセキュリティ協会が「SECCON 2018」の実施計画を公表

      2018年6月11日、日本ネットワークセキュリティ協会 (JNSA) が主催する
      「SECCON 2018（セクコン2018）」の実施計画が公表されました。「SECCON」
      は、情報セキュリティがテーマのイベントで、情報セキュリティ人材を育成す
      ることを目的に、2013年度から開催されています。

      「SECCON 2018」は、12月に秋葉原で開催されます。会場では情報セキュリティ
      の技術力を競う CTF の国内大会と国際大会をはじめ、カンファレンス、ワー
      クショップ、展示なども行われます。詳細は JNSA の情報を参照してください。

    参考文献 (日本語)
      日本ネットワークセキュリティ協会 (JNSA)
      セキュリティコンテスト「SECCON 2018」開催について
      http://www.jnsa.org/press/2018/180611.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJbKZ7EAAoJEDF9l6Rp7OBIrwIH/1WZCDVVwVc4oeDl/Kg8LbuE
qWUR0i2S376ruvyUKd+XmBLTl9z5QVfLgeKox33KBhSzlpjkETpJ6HZSecsOiYpW
EQeouxxHJTnB956ZzCMRGyb5gZp1ljXOKkMkpkR4FIY485nI6smsa3CRXo6itiMs
uqIJFA9PVtptr0w/7fJuuPGsfqfPMGirPMQEHbgC8gg9P5xPZZD4paTeB+jwYFQV
1VQiQkGWi0wxOSUcymO4B8g8IDkEEeQTKl8HpFCnCIesUDJCzJqP89rzklWDEkw5
orDznzT07exibyv3AM5g5fc2IQErLc8C/pJ1gNMlbT4FouFRKrYMHOe1jzSONgM=
=jyKf
-----END PGP SIGNATURE-----