<<< JPCERT/CC WEEKLY REPORT 2014-04-16 >>>

■04/06(日)〜04/12(土) のセキュリティ関連情報

目　次

【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性

【2】複数の Microsoft 製品に脆弱性

【3】Adobe Flash Player および AIR に複数の脆弱性

【4】WordPress に複数の脆弱性

【5】MovableType に複数の脆弱性

【6】PivotX に複数の脆弱性

【今週のひとくちメモ】ネットバンキング被害に注意

【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性

情報源

CERT/CC Vulnerability Note VU#720951
OpenSSL heartbeat extension read overflow discloses sensitive information
https://www.kb.cert.org/vuls/id/720951

概要

OpenSSL の heartbeat 拡張には、情報が開示される脆弱性があります。結果
として、遠隔の第三者が、秘密鍵などの重要な情報を取得する可能性がありま
す。

対象となるバージョンは以下の通りです。

- OpenSSL 1.0.1 から 1.0.1f まで
- OpenSSL 1.0.2 beta1

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新することで解決します。

関連文書 (日本語)

独立行政法人情報処理推進機構 (IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

Japan Vulnerability Notes JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94401838/index.html

JPCERT Alert 2014-04-08
OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

関連文書 (英語)

OpenSSL Security Advisory
TLS heartbeat read overrun (CVE-2014-0160)
https://www.openssl.org/news/secadv_20140407.txt

US-CERT Alert (TA14-098A)
OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)
https://www.us-cert.gov/ncas/alerts/TA14-098A

【2】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases April 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/04/08/Microsoft-Releases-April-2014-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- Microsoft Office
- Microsoft Office Services
- Microsoft Office Web Apps
- Microsoft Windows
- Internet Explorer

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2014 年 4 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr.html

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020)
https://www.npa.go.jp/cyberpolice/topics/?seq=13518

独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(2014年4月)
https://www.ipa.go.jp/security/ciadr/vul/20140409-ms.html

JPCERT/CC Alert 2014-04-09
2014年4月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140015.html

Japan Vulnerability Notes JVNVU#96484185
Microsoft Office file format converter にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU96484185/index.html

【3】Adobe Flash Player および AIR に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player and AIR
https://www.us-cert.gov/ncas/current-activity/2014/04/09/Adobe-Releases-Security-Updates-Flash-Player-and-AIR

概要

Adobe Flash Player および AIR には、複数の脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 12.0.0.77 およびそれ以前 (Windows版および Macintosh版)
- Adobe Flash Player 11.2.202.346 およびそれ以前 (Linux版)
- Adobe AIR 4.0.0.1628 およびそれ以前 (Android版)
- Adobe AIR 4.0.0.1628 SDK およびそれ以前 (Windows版および Macintosh版)
- Adobe AIR 4.0.0.1628 SDK & Compiler およびそれ以前 (Windows版および Macintosh版)

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
や AIR を更新することで解決します。詳細については、Adobe が提供する情
報を参照して下さい。

関連文書 (日本語)

Adobeセキュリティ情報 APSB14-09
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-09.html

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=13520

独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-09)(CVE-2014-0506等)
https://www.ipa.go.jp/security/ciadr/vul/20140409-adobeflashplayer.html

JPCERT Alert 2014-04-09
Adobe Flash Player の脆弱性 (APSB14-09) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140014.html

【4】WordPress に複数の脆弱性

情報源

WordPress
WordPress 3.8.2 Security Release
https://wordpress.org/news/2014/04/wordpress-3-8-2/

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、
認証を回避して不正な操作を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- Wordpress 3.8.2 より前のバージョン

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細については、Wordpress が提供する情報を参照
して下さい。

関連文書 (日本語)

WordPress 日本語
WordPress 3.8.2 セキュリティリリース
https://ja.wordpress.org/news/2014/04/wordpress-3-8-2/

【5】MovableType に複数の脆弱性

情報源

シックス・アパート
[重要] 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始
http://www.sixapart.jp/movabletype/news/2014/04/09-1100.html

概要

MovableType には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- MovableType 6.0.2 およびそれ以前
- MovableType 5.2.9 およびそれ以前
- MovableType 5.161 およびそれ以前

この問題は、シックス・アパートが提供する修正済みのバージョンに
MovableType を更新することで解決します。詳細については、シックス・アパー
トが提供する情報を参照して下さい。

【6】PivotX に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#901156
PivotX 2.3.8 contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/901156

概要

PivotX には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のファイルをアップロードしたり、ユーザのブラウザ上で任意のスクリプトを
実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- PivotX 2.3.8 およびそれ以前

この問題は、PivotX が提供する修正済みのバージョンに PivotX を更新する
ことで解決します。詳細については、PivotX が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98943832
PivotX に複数の脆弱性
https://jvn.jp/vu/JVNVU98943832/index.html

■今週のひとくちメモ

○ネットバンキング被害に注意

近年、フィッシングなどの被害によってネットバンキングやオンライン決済の
ユーザの口座から預金が引き出される事例が急増しています。

2012年頃には国内で大手銀行を騙ったフィッシング詐欺の流行が見られましたが、
その後もこの傾向は続いており、今年に入って 3月12日には全国銀行協会が、
「ネットバンキング犯罪対策」特設サイトを公開して注意を呼びかけています。

参考文献に挙げている「ここからセキュリティ!」やフィッシング対策協議会な
どのサイトで実際の被害事例を紹介しています。どのような事例があるかを知る
とともに、お使いの PC 環境のセキュリティ強化やアカウント情報の適切な管理
を行ってください。

参考文献 (日本語)

全国銀行協会
ネットバンキング犯罪対策
https://www.zenginkyo.or.jp/ib_hanzai/

ここからセキュリティ!
フィッシング詐欺・なりすまし
https://www.ipa.go.jp/security/kokokara/measure/index.html#phishing

フィッシング対策協議会
フィッシングに関するニュース
https://www.antiphishing.jp/news/

JPCERT/CC ひとくちメモ
オンラインバンキングマルウエアに注意
https://www.jpcert.or.jp/tips/2012/wr124601.html

■JPCERT/CC からのお願い