プロキシ自動設定ファイル (proxy.pac) を使用するブラウザには情報漏えい
の脆弱性があります。結果として、遠隔の第三者が、悪意ある proxy.pac ファ
イルを使用させることで、情報を取得する可能性があります。

対象となる製品は以下の通りです。

- プロキシ自動設定ファイル (proxy.pac) が使用できるブラウザ
- WPAD に対応しているブラウザ

この問題は、該当するブラウザを、開発者が提供する修正済みのバージョンに
更新することで解決します。また、以下の回避策を適用することで、本脆弱性
の影響を軽減することが可能です。

- WPAD を使用しない

詳細は、開発者が提供する情報を参照してください。

【2】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/08/05/VMware-Releases-Security-Update-0

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
たりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESXi 6.0 ESXi600-201603102-SG より前のバージョン
- VMware ESXi 5.5 ESXi550-201608102-SG より前のバージョン
- VMware ESXi 5.1 ESXi510-201605102-SG より前のバージョン
- VMware ESXi 5.0 ESXi500-201606102-SG より前のバージョン
- VMware Workstation Pro 12.1.1 より前のバージョン
- VMware Workstation Player 12.1.1 より前のバージョン
- VMware Fusion 8.1.1 より前のバージョン
- VMware Tools 10.0.5 およびそれ以前
- VMware vCenter Server 6.0 U2 より前のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/08/03/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
たりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- RV110W Wireless-N VPN Firewall
- RV130W Wireless-N Multifunction VPN Router
- RV215W Wireless-N VPN Router
- RV180 VPN Router
- RV180W Wireless-N Multifunction VPN Router
- Unified Communications Manager IM and Presence Service 9.1(1) SU6
- Unified Communications Manager IM and Presence Service 9.1(1) SU6a
- Unified Communications Manager IM and Presence Service 9.1(1) SU7
- Unified Communications Manager IM and Presence Service 10.5(2) SU2
- Unified Communications Manager IM and Presence Service 10.5(2) SU2a
- Unified Communications Manager IM and Presence Service 11.0(1) SU1
- Unified Communications Manager IM and Presence Service 11.5(1)
- TelePresence Video Communication Server Expressway X8.5.2
- Prime Infrastructure Release 2.2(2)

この問題は、該当する製品のファームウェアを Cisco が提供する修正済みの
バージョンに更新することで解決します。詳細は、Cisco が提供する情報を参
照してください。

【4】Apple iOS にメモリ破損の脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/08/05/Apple-Releases-Security-Update

概要

Apple iOS には、メモリ破損の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- iOS 9.3.4 より前のバージョン

この問題は、iOS を Apple が提供する修正済みのバージョンに更新すること
で解決します。詳細は、Apple が提供する情報を参照してください。

【5】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/08/03/Mozilla-Releases-Security-Updates

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 48 より前のバージョン
- Firefox ESR 45.3 より前のバージョン

この問題は、Firefox を Mozilla が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。

【6】Android ブラウザにサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#09470233
Android ブラウザにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN09470233/

概要

Android 4.3 およびそれ以前のバージョンで使用されている既定のウェブブラ
ウザには、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害
(DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Android ブラウザ 2.1
- Android ブラウザ 2.2
これらは単に「ブラウザ」、あるいは「AOSP Stock Browser」と呼ばれること
もあります。

2016年8月9日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- Android ブラウザを使用しない

詳細は、ベンダや配布元が提供する情報を参照してください。

【7】Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#603047
Crestron AirMedia AM-100 contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/603047

概要

AirMedia Presentation Gateway AM-100 には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意のファイルにアクセスしたり、任意のコード
を実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- AirMedia Presentation Gateway AM-100 firmware version 1.4.0.13 より前のバージョン

この問題は、AirMedia Presentation Gateway AM-100 のファームウェアを、
Crestron Electronics が提供する修正済みのバージョンに更新することで解
決します。詳細は、Crestron Electronics が提供する情報を参照してくださ
い。

【8】Crestron Electronics DM-TXRX-100-STR に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#974424
Crestron Electronics DM-TXRX-100-STR web interface contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/974424

概要

Crestron Electronics DM-TXRX-100-STR には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意の操作を実行する可能性があります。

対象となるバージョンは以下の通りです。

- DM-TXRX-100-STR firmware version 1.2866.00026 およびそれ以前

この問題は、DM-TXRX-100-STR のファームウェアを、Crestron Electronics
が提供する修正済みのバージョンに更新することで解決します。ただし、問題
の一部は 2016年8月9日現在、修正されていません。詳細は、Crestron
Electronics が提供する情報を参照してください。

■今週のひとくちメモ

○STOP!! パスワード使い回し!! - そのパスワードを知っているのは、本当にあなただけですか？ -

JPCERT/CC では、「STOP!! パスワード使い回し!!」と題して、複数のインター
ネットサービスで同じアカウント ID、パスワードを使い回さないよう呼びか
けています。この呼びかけは、パスワードリスト攻撃による不正ログインの被
害が減らないことを受け、2014年から行っているものです。複数のサービスで
同一のパスワードを使用していないか、また単純なパスワードを使用していな
いか、この機会にご確認ください。

参考文献 (日本語)

JPCERT/CC
STOP!! パスワード使い回し!!キャンペーン2016 - そのパスワードを知っているのは、本当にあなただけですか？ -
https://www.jpcert.or.jp/pr/2016/pr160003.html

JPCERT/CC
STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2016-08-10号

<<< JPCERT/CC WEEKLY REPORT 2016-08-10 >>>

■07/31(日)〜08/06(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○STOP!! パスワード使い回し!! - そのパスワードを知っているのは、本当にあなただけですか？ -

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次