<<< JPCERT/CC WEEKLY REPORT 2014-04-16 >>>
■04/06(日)〜04/12(土) のセキュリティ関連情報
目 次
【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性
【2】複数の Microsoft 製品に脆弱性
【3】Adobe Flash Player および AIR に複数の脆弱性
【4】WordPress に複数の脆弱性
【5】MovableType に複数の脆弱性
【6】PivotX に複数の脆弱性
【今週のひとくちメモ】ネットバンキング被害に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr141501.txt
https://www.jpcert.or.jp/wr/2014/wr141501.xml
【1】OpenSSL の heartbeat 拡張に情報が開示される脆弱性
情報源
CERT/CC Vulnerability Note VU#720951
OpenSSL heartbeat extension read overflow discloses sensitive information
https://www.kb.cert.org/vuls/id/720951
概要
OpenSSL の heartbeat 拡張には、情報が開示される脆弱性があります。結果 として、遠隔の第三者が、秘密鍵などの重要な情報を取得する可能性がありま す。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.1 から 1.0.1f まで - OpenSSL 1.0.2 beta1 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。
関連文書 (日本語)
独立行政法人情報処理推進機構 (IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.htmlJapan Vulnerability Notes JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94401838/index.htmlJPCERT Alert 2014-04-08
OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html
関連文書 (英語)
OpenSSL Security Advisory
TLS heartbeat read overrun (CVE-2014-0160)
https://www.openssl.org/news/secadv_20140407.txtUS-CERT Alert (TA14-098A)
OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)
https://www.us-cert.gov/ncas/alerts/TA14-098A
【2】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases April 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/04/08/Microsoft-Releases-April-2014-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - Microsoft Office - Microsoft Office Services - Microsoft Office Web Apps - Microsoft Windows - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2014 年 4 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr.html警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020)
https://www.npa.go.jp/cyberpolice/topics/?seq=13518独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(2014年4月)
https://www.ipa.go.jp/security/ciadr/vul/20140409-ms.htmlJPCERT/CC Alert 2014-04-09
2014年4月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140015.htmlJapan Vulnerability Notes JVNVU#96484185
Microsoft Office file format converter にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU96484185/index.html
【3】Adobe Flash Player および AIR に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player and AIR
https://www.us-cert.gov/ncas/current-activity/2014/04/09/Adobe-Releases-Security-Updates-Flash-Player-and-AIR
概要
Adobe Flash Player および AIR には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 12.0.0.77 およびそれ以前 (Windows版および Macintosh版) - Adobe Flash Player 11.2.202.346 およびそれ以前 (Linux版) - Adobe AIR 4.0.0.1628 およびそれ以前 (Android版) - Adobe AIR 4.0.0.1628 SDK およびそれ以前 (Windows版および Macintosh版) - Adobe AIR 4.0.0.1628 SDK & Compiler およびそれ以前 (Windows版および Macintosh版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player や AIR を更新することで解決します。詳細については、Adobe が提供する情 報を参照して下さい。
関連文書 (日本語)
Adobeセキュリティ情報 APSB14-09
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-09.html警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=13520独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-09)(CVE-2014-0506等)
https://www.ipa.go.jp/security/ciadr/vul/20140409-adobeflashplayer.htmlJPCERT Alert 2014-04-09
Adobe Flash Player の脆弱性 (APSB14-09) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140014.html
【4】WordPress に複数の脆弱性
情報源
WordPress
WordPress 3.8.2 Security Release
https://wordpress.org/news/2014/04/wordpress-3-8-2/
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、 認証を回避して不正な操作を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Wordpress 3.8.2 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細については、Wordpress が提供する情報を参照 して下さい。
関連文書 (日本語)
WordPress 日本語
WordPress 3.8.2 セキュリティリリース
https://ja.wordpress.org/news/2014/04/wordpress-3-8-2/
【5】MovableType に複数の脆弱性
情報源
シックス・アパート
[重要] 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始
http://www.sixapart.jp/movabletype/news/2014/04/09-1100.html
概要
MovableType には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - MovableType 6.0.2 およびそれ以前 - MovableType 5.2.9 およびそれ以前 - MovableType 5.161 およびそれ以前 この問題は、シックス・アパートが提供する修正済みのバージョンに MovableType を更新することで解決します。詳細については、シックス・アパー トが提供する情報を参照して下さい。
【6】PivotX に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#901156
PivotX 2.3.8 contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/901156
概要
PivotX には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のファイルをアップロードしたり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - PivotX 2.3.8 およびそれ以前 この問題は、PivotX が提供する修正済みのバージョンに PivotX を更新する ことで解決します。詳細については、PivotX が提供する情報を参照して下さ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98943832
PivotX に複数の脆弱性
https://jvn.jp/vu/JVNVU98943832/index.html
■今週のひとくちメモ
○ネットバンキング被害に注意
近年、フィッシングなどの被害によってネットバンキングやオンライン決済の ユーザの口座から預金が引き出される事例が急増しています。 2012年頃には国内で大手銀行を騙ったフィッシング詐欺の流行が見られましたが、 その後もこの傾向は続いており、今年に入って 3月12日には全国銀行協会が、 「ネットバンキング犯罪対策」特設サイトを公開して注意を呼びかけています。 参考文献に挙げている「ここからセキュリティ!」やフィッシング対策協議会な どのサイトで実際の被害事例を紹介しています。どのような事例があるかを知る とともに、お使いの PC 環境のセキュリティ強化やアカウント情報の適切な管理 を行ってください。
参考文献 (日本語)
全国銀行協会
ネットバンキング犯罪対策
https://www.zenginkyo.or.jp/ib_hanzai/ここからセキュリティ!
フィッシング詐欺・なりすまし
https://www.ipa.go.jp/security/kokokara/measure/index.html#phishingフィッシング対策協議会
フィッシングに関するニュース
https://www.antiphishing.jp/news/JPCERT/CC ひとくちメモ
オンラインバンキングマルウエアに注意
https://www.jpcert.or.jp/tips/2012/wr124601.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/