-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0016 JPCERT/CC 2018-04-11 <<< JPCERT/CC Alert 2018-04-11 >>> 2018年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180016.html I. 概要 マイクロソフトから 2018年 4月のセキュリティ更新プログラムが公開されま した。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれ ています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコー ドが実行されるなどの恐れがあります。 脆弱性の詳細は、次の URL を参照してください。 2018 年 4 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d [修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)] ※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」 のものを挙げています。 ADV180007 2018 年 4 月の Adobe Flash のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV180007 - KB4093110 CVE-2018-0870 Internet Explorer のメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0870 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114 KB4093118, KB4093119 CVE-2018-0979 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0979 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0980 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0980 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0981 スクリプト エンジンの情報漏えいの脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0981 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114 KB4093118, KB4093119 CVE-2018-0988 スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0988 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114 KB4093118, KB4093119 CVE-2018-0990 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0990 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0991 Internet Explorer のメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0991 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114, KB4093118, KB4093119 CVE-2018-0993 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0993 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0994 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0994 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0995 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0995 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 CVE-2018-0996 スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0996 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114, KB4093118, KB4093119 CVE-2018-1000 スクリプト エンジンの情報漏えいの脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1000 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114, KB4093118, KB4093119 CVE-2018-1004 Windows VBScript エンジンのリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1004 - KB4092946, KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123 CVE-2018-1010 Microsoft Graphics のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1010 - KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223 CVE-2018-1012 Microsoft Graphics のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1012 - KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223 CVE-2018-1013 Microsoft Graphics のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1013 - KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223 CVE-2018-1015 Microsoft Graphics のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1015 - KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223 CVE-2018-1016 Microsoft Graphics のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1016 - KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223 CVE-2018-1018 Internet Explorer のメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1018 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114, KB4093118, KB4093119 CVE-2018-1019 Chakra スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1019 - KB4093112 CVE-2018-1020 Internet Explorer のメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1020 - KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114, KB4093118, KB4093119 CVE-2018-1023 Microsoft ブラウザーのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1023 - KB4093107, KB4093109, KB4093111, KB4093112, KB4093119 また、CERT/CC より Microsoft Outlook に関する情報 (CVE-2018-0950) が 公開されています。 マイクロソフトは、2018年 4月のセキュリティ更新プログラムにて本脆弱性 を修正しており、深刻度を「重要」としています。 こちらも併せて、ご確認ください。 Vulnerability Note VU#974272 Microsoft Outlook retrieves remote OLE content without prompting https://www.kb.cert.org/vuls/id/974272 なお、マイクロソフトによると、今回のアップデートに関連する脆弱性の悪用 は確認されていないとのことですが、セキュリティ更新プログラムの早期の適 用をご検討ください。 また、マイクロソフトより、Microsoft Visual Studio 2008 や Microsoft SQL Server Compact 3.5 のサポートに関する情報が公開されています。 詳細は、マイクロソフト社の情報を確認してください。サポート終了後は、 セキュリティ更新プログラムが提供されなくなるため、セキュリティ上の脅威が 高まります。古いバージョンを使用している場合は、アプリケーションの対応 状況などをふまえた上で、サポート対象のバージョンへの移行をご検討ください。 マイクロソフト株式会社 2018 年にサポートが終了する製品 https://support.microsoft.com/ja-JP/help/4043450/products-reaching-end-of-support-for-2018 対象となる製品およびバージョンは以下の通りです。 - Microsoft SQL Server Compact 3.5 - Microsoft Visual Studio 2008 (すべてのエディション) - Microsoft Visual Studio Team System 2008 (すべてのエディション) - Microsoft Visual Studio Team System 2008 Team Foundation Server - Microsoft Dynamics CRM 4.0 - Microsoft Office Accounting 2008 (すべてのエディション) - Microsoft System Center Capacity Planner 2007 - Microsoft Visual Basic 2008 Express Edition - Microsoft Visual C# 2008 Express Edition - Microsoft Visual Web Developer 2008 Express Edition - Windows Embedded CE 6.0 II. 対策 Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更 新プログラムを早急に適用してください。 Microsoft Update / Windows Update http://www.update.microsoft.com/ Microsoft Update Catalog https://www.catalog.update.microsoft.com/ III. 参考情報 マイクロソフト株式会社 2018 年 4 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d マイクロソフト株式会社 2018 年 4 月のセキュリティ更新プログラム (月例) https://blogs.technet.microsoft.com/jpsecurity/2018/04/11/201804-security-updates/ マイクロソフト株式会社 Windows Update: FAQ https://support.microsoft.com/ja-JP/help/12373/windows-update-faq アドビシステムズ株式会社 Security updates available for Flash Player | APSB18-08 https://helpx.adobe.com/security/products/flash-player/apsb18-08.html JPCERT/CC Adobe Flash Player の脆弱性 (APSB18-08) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180015.html CERT/CC Microsoft Outlook retrieves remote OLE content without prompting https://www.kb.cert.org/vuls/id/974272 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJazYxmAAoJEDF9l6Rp7OBIX1oH/joxX96ZRnuTISPp3BfCR56m IGDvlCtYD4NdF7UNgALQ80WldG+tYSa+q+f3MBR8GJuY5IR7jJU11fjE86pI3LmD h4bLhb7sL2Zj6Z0PVq3nsEOpX2VJhynA0wGgeRnY/z5EdHjZMnP5YBFSSIH1AP66 38bazEKnrYINY/tOf41eY4dPsPYTNou69Owmr9JLyD1EtmWgRhE8aMUDZuvhH63a yb/AO+b40UF2Fbsu/uawgjJSxWMZyJm8uQjuDSjuTeResxbTDzOUyzx7ZGmrTnnm DIevF8ONuazOdTYCedwYUOgTUX7BD9mO4pOwcxE2A9bdK2LdcYLpMV6kJMq8IX0= =PWPC -----END PGP SIGNATURE-----