-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2018-4901
                                                                   JPCERT/CC
                                                                  2018-12-19

            <<< JPCERT/CC WEEKLY REPORT 2018-12-19 >>>

――――――――――――――――――――――――――――――――――――――
■12/09(日)〜12/15(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Mozilla Firefox に複数の脆弱性
【4】Google Chrome に解放済みメモリ使用の脆弱性
【5】WordPress に複数の脆弱性
【6】複数のサイボウズ製品に脆弱性
【7】日本電気株式会社製の無線 LAN ルータに複数の脆弱性
【8】Pixar Tractor にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】長期休暇に備えて 2018/12

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2018/wr184901.html
        https://www.jpcert.or.jp/wr/2018/wr184901.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases December 2018 Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/12/11/Microsoft-Releases-December-2018-Security-Updates

    概要
      複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
      が任意のコードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Internet Explorer
      - Microsoft Edge
      - Microsoft Windows
      - Microsoft Office、Microsoft Office Services および Web Apps
      - ChakraCore
      - .NET Framework
      - Microsoft Dynamics NAV
      - Microsoft Exchange Server
      - Microsoft Visual Studio
      - Windows Azure Pack (WAP)

      この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
      とで解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2018 年 12 月のセキュリティ更新プログラム
      https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

      JPCERT/CC Alert 2018-12-12
      2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180050.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/12/11/Adobe-Releases-Security-Updates

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
      意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Adobe Acrobat Reader DC Continuous (2019.008.20081) およびそれ以前 (Windows)
      - Adobe Acrobat Reader DC Continuous (2019.008.20080) およびそれ以前 (macOS)
      - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
      - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
      - Adobe Acrobat Reader DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
      - Adobe Acrobat Reader DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)
      - Adobe Acrobat DC Continuous (2019.008.20081) およびそれ以前 (Windows)
      - Adobe Acrobat DC Continuous (2019.008.20080) およびそれ以前 (macOS)
      - Adobe Acrobat 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
      - Adobe Acrobat 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
      - Adobe Acrobat DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
      - Adobe Acrobat DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)

      この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe
      Adobe Acrobat および Reader に関するセキュリティ情報 | APSB18-41
      https://helpx.adobe.com/jp/security/products/acrobat/apsb18-41.html

      JPCERT/CC Alert 2018-12-12
      Adobe Acrobat および Reader の脆弱性 (APSB18-41) に関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180049.html

【3】Mozilla Firefox に複数の脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates for Firefox
      https://www.us-cert.gov/ncas/current-activity/2018/12/11/Mozilla-Releases-Security-Updates-Firefox

    概要
      Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
      が任意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Mozilla Firefox 64 より前のバージョン
      - Mozilla Firefox ESR 60.4 より前のバージョン

      この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
      に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
      ださい。

    関連文書 (英語)
      Mozilla
      Security vulnerabilities fixed in Firefox 64
      https://www.mozilla.org/en-US/security/advisories/mfsa2018-29/

      Mozilla
      Security vulnerabilities fixed in Firefox ESR 60.4
      https://www.mozilla.org/en-US/security/advisories/mfsa2018-30/

【4】Google Chrome に解放済みメモリ使用の脆弱性

    情報源
      US-CERT Current Activity
      Google Releases Security Updates for Chrome
      https://www.us-cert.gov/ncas/current-activity/2018/12/12/Google-Releases-Security-UIpdates-Chrome

    概要
      Google Chrome には、PDFium における解放済みメモリ使用の脆弱性がありま
      す。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 71.0.3578.98 より前のバージョン

      この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
      新することで解決します。詳細は、Google が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop_12.html

【5】WordPress に複数の脆弱性

    情報源
      US-CERT Current Activity
      WordPress Releases Security Update
      https://www.us-cert.gov/ncas/current-activity/2018/12/13/WordPress-Releases-Security-Update

    概要
      WordPress には、複数の脆弱性があります。結果として、特定の権限を持つユー
      ザがファイルを削除するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - WordPress 5.0.1 より前のバージョン

      この問題は、WordPress を WordPress.org が提供する修正済みのバージョン
      に更新することで解決します。詳細は、WordPress.org が提供する情報を参照
      してください。

    関連文書 (英語)
      WordPress.org
      WordPress 5.0.1 Security Release
      https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/

【6】複数のサイボウズ製品に脆弱性

    情報源
      Japan Vulnerability Notes JVN#23161885
      サイボウズ リモートサービスにおける複数の脆弱性
      https://jvn.jp/jp/JVN23161885/

      Japan Vulnerability Notes JVN#25385698
      サイボウズ Garoon におけるアクセス制限回避の脆弱性
      https://jvn.jp/jp/JVN25385698/

    概要
      複数のサイボウズ製品には、脆弱性があります。結果として、遠隔の第三者が
      サーバ上の任意のファイルを削除するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - サイボウズ リモートサービス 3.0.0 から 3.1.8 まで
      - サイボウズ Garoon 3.0.0 から 4.10.0 まで

      この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
      に更新するか、パッチを適用することで解決します。詳細は、サイボウズ株式
      会社が提供する情報を参照してください。

    関連文書 (日本語)
      サイボウズ株式会社
      サイボウズ リモートサービス 3 脆弱性に関するお知らせ
      https://cs.cybozu.co.jp/2018/006786.html

      サイボウズ株式会社
      「Garoon 3.7 / 4.6 パッチプログラム」リリースのお知らせ (2018/12/7)
      https://cs.cybozu.co.jp/2018/006790.html

【7】日本電気株式会社製の無線 LAN ルータに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#87535892
      Aterm WF1200CR および Aterm WG1200CR における複数の脆弱性
      https://jvn.jp/jp/JVN87535892/

    概要
      日本電気株式会社製の無線 LAN ルータには、複数の脆弱性があります。結果
      として、当該製品にアクセス可能な第三者が、任意の OS コマンドを実行する
      などの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Aterm WF1200CR ファームウェア Ver1.1.1 およびそれ以前
      - Aterm WG1200CR ファームウェア Ver1.0.1 およびそれ以前

      この問題は、該当する製品を日本電気株式会社が提供する修正済みのバージョン
      に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
      照してください。

    関連文書 (日本語)
      日本電気株式会社
      Aterm WF1200CR および Aterm WG1200CR における複数の脆弱性
      https://jpn.nec.com/security-info/secinfo/nv18-021.html

【8】Pixar Tractor にクロスサイトスクリプティングの脆弱性

    情報源
      CERT/CC Vulnerability Note VU#756913
      Pixars Tractor contains a stored cross-site scripting vulnerability
      https://www.kb.cert.org/vuls/id/756913/

      Japan Vulnerability Notes JVNVU#90382644
      Pixar Tractor におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/vu/JVNVU90382644/

    概要
      Pixar Animation Studios が提供するネットワークレンダリングソフトウエア
      Tractor には、クロスサイトスクリプティングの脆弱性があります。結果とし
      て、第三者が、当該製品にログインしているユーザのウェブブラウザ上で、任
      意のスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - Tractor version 2.2 およびそれ以前

      この問題は、Pixar Tractor を Pixar Animation Studios が提供する修正済
      みのバージョンに更新することで解決します。詳細は、Pixar Animation
      Studios が提供する情報を参照してください。

    関連文書 (英語)
      Pixar Animation Studios
      Tractor 2
      https://renderman.pixar.com/product/tractor

      Pixar Animation Studios
      Release Notes
      https://rmanwiki.pixar.com/display/TRA/Release+Notes


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○長期休暇に備えて 2018/12

      2018年12月18日(火)、JPCERT/CC は「長期休暇に備えて 2018/12」を公開しま
      した。この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントや、
      観測した攻撃事案を例に挙げ、インシデント発生の予防および緊急時の対応に
      関して、対策などの要点をまとめて記載しています。休暇期間中のインシデン
      ト発生に備え、自組織のセキュリティ対策を今一度ご確認ください。

    参考文献 (日本語)
      JPCERT/CC
      長期休暇に備えて 2018/12
      https://www.jpcert.or.jp/pr/2018/pr180002.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJcGYtaAAoJEDF9l6Rp7OBINUUH/3KJwON94/xJ4kZf/4uMfG0O
mVjqmW0SfcZ3YzeSY4aITDa/Isa9jq1RcsW+n1e9jtQowozH3OsuAVJl3gb1f7KB
IUFIWdbGy5cSZoXDpB4jeBMm3LdjCWc0eA2PJxPdUDq4+so0w+dfJwoh1pU3GXgS
fjHD9nOV1exurZlg1xNCB0Cf3KD8V5xGH/r55zSzFvBVcor0T1q7hgE/Ci7hrVhY
QJHymR8sW9FNgSRgDAx16MzXq/mMwYmXZEMcbXcrqK2/kwllvyXy7lMQE036Ff1p
qtkS/G9u0sbmndnXg6UiR5W64bZ1ovVW3l9QqFtCiMtPjAsOBBUM6FeL1W/5NPM=
=2Qwf
-----END PGP SIGNATURE-----