<<< JPCERT/CC WEEKLY REPORT 2018-06-20 >>>
■06/10(日)〜06/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】Google Chrome にメモリ境界外への書き込みを行う脆弱性
【3】ISC BIND 9 に再帰的問い合わせが不適切に許可される脆弱性
【4】Xcode に複数の脆弱性
【5】VMware AirWatch Agent に任意のコードが実行可能な脆弱性
【6】Intel Core ベースのマイクロプロセッサに投機的実行機能に関する脆弱性
【7】LINE PC版 (Windows版) に DLL 読み込みに関する脆弱性
【8】Zenphoto にローカルファイルインクルージョンの脆弱性
【9】iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】日本ネットワークセキュリティ協会が「SECCON 2018」の実施計画を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr182301.txt
https://www.jpcert.or.jp/wr/2018/wr182301.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases June 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/06/12/Microsoft-Releases-June-2018-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2018 年 6 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/7d4489d6-573f-e811-a96f-000d3a33c573JPCERT/CC Alert 2018-06-13
2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180025.html
【2】Google Chrome にメモリ境界外への書き込みを行う脆弱性
情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/06/13/Google-Releases-Security-Update-Chrome
概要
Google Chrome には、メモリ境界外への書き込みを行う脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 67.0.3396.87 より前のバージョン (Windows 版、Macintosh 版 および Linux 版) この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/06/stable-channel-update-for-desktop_12.html
【3】ISC BIND 9 に再帰的問い合わせが不適切に許可される脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2018/06/13/ISC-Releases-Security-Advisory-BIND
概要
ISC BIND 9 には、再帰的問い合わせが不適切に許可される脆弱性があります。
結果として、遠隔の第三者が機微な情報を取得する可能性があります。
対象となるバージョンは次のとおりです。
- BIND 9.9.12
- BIND 9.10.7
- BIND 9.11.3
- BIND 9.12.0 から 9.12.1-P2
- BIND the development release 9.13.0
- BIND 9.9.12-S1
- BIND 9.10.7-S1
- BIND 9.11.3-S1
- BIND 9.11.3-S2
2018年6月19日現在、この問題が解決済みのバージョンは公開されていません
が、正式リリース候補である rc 版はリリースされています。また、次の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- 固有の設定をする必要がなければ "allow-query {localnets; localhost;};" を設定する
- allow-recursion、allow-query、allow-query-cache を明示的に設定する
- 再帰的問い合わせを受け付ける必要がなければ "recursion no;" を設定する
詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92227071
ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
https://jvn.jp/vu/JVNVU92227071/JPCERT/CC CyberNewsFlash
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
https://www.jpcert.or.jp/newsflash/2018061302.html
関連文書 (英語)
ISC
CVE-2018-5738: Some versions of BIND can improperly permit recursive query service to unauthorized clients
https://kb.isc.org/article/AA-01616ISC
BIND 9.9.13rc1 Release Notes
https://kb.isc.org/article/AA-01619ISC
BIND 9.10.8rc1 Release Notes
https://kb.isc.org/article/AA-01618ISC
BIND 9.11.4rc1 Release Notes
https://kb.isc.org/article/AA-01620ISC
BIND 9.12.2rc1 Release Notes
https://kb.isc.org/article/AA-01621ISC
BIND 9.13.1 Release Notes
https://kb.isc.org/article/AA-01622
【4】Xcode に複数の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Update for Xcode
https://www.us-cert.gov/ncas/current-activity/2018/06/13/Apple-Releases-Security-Update-Xcode
概要
Xcode には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Xcode 9.4.1 より前のバージョン この問題は、Xcode を Apple が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
Xcode 9.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208895
【5】VMware AirWatch Agent に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/06/12/VMware-Releases-Security-Update
概要
VMware AirWatch Agent には、遠隔の第三者によって任意のコードを実行可能 な脆弱性があります。 対象となるバージョンは次のとおりです。 - VMware AirWatch Agent 8.2 より前のバージョン (Android 版) - VMware AirWatch Agent 6.5.2 より前のバージョン (Windows Mobile 版) この問題は、VMware AirWatch Agent を VMware が提供する修正済みのバー ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照 してください。
関連文書 (英語)
VMware
VMSA-2018-0015
https://www.vmware.com/security/advisories/VMSA-2018-0015.html
【6】Intel Core ベースのマイクロプロセッサに投機的実行機能に関する脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Advisory on Lazy FP State Restore Vulnerability
https://www.us-cert.gov/ncas/current-activity/2018/06/13/Intel-Releases-Security-Advisory-Lazy-FP-State-Restore
概要
Intel Core ベースのマイクロプロセッサには、投機的実行機能に関する脆弱 性があります。結果として、第三者が機微な情報を取得する可能性があります。 対象となる製品は次のとおりです。 - Intel Core ベースのマイクロプロセッサ この問題に対して、Intel や当該製品を使用するベンダから、対策に関する情 報が公開されています。修正済みのバージョンが公開されている場合は適用す ることをおすすめします。詳細は、Intel や各ベンダが提供する情報を参照し てください。
関連文書 (英語)
Intel
Lazy FP state restore
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html
【7】LINE PC版 (Windows版) に DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#92265618
LINE PC版 (Windows版) における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN92265618/
概要
LINE PC版 (Windows版) には、DLL 読み込みに関する脆弱性があります。結果 として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - LINE PC版(Windows版)バージョン 5.8.0 より前のバージョン この問題は、LINE PC版 (Windows版) を LINE株式会社が提供する修正済みの バージョンに更新することで解決します。LINE株式会社によると、2018年5月 31日に修正済みのバージョンを公開しており、当該製品の起動時に自動的にアッ プデートが適用されるとのことです。詳細は、LINE株式会社が提供する情報を 参照してください。
関連文書 (日本語)
LINE株式会社
【脆弱性情報】 LINE PC版(Windows)の脆弱性と修正完了に関するお知らせ
https://linecorp.com/ja/security/article/171
【8】Zenphoto にローカルファイルインクルージョンの脆弱性
情報源
Japan Vulnerability Notes JVN#33124193
Zenphoto におけるローカルファイルインクルージョンの脆弱性
https://jvn.jp/jp/JVN33124193/
概要
Zenphoto には、ローカルファイルインクルージョンの脆弱性があります。結 果として、管理者権限を持つユーザが、機微な情報を取得したり、任意のコー ドを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - Zenphoto 1.4.14 およびそれ以前 この問題は、Zenphoto を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Zenphoto
Zenphoto 1.5
https://www.zenphoto.org/news/zenphoto-1.5
【9】iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVNVU#71535108
iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN71535108/
概要
iOS アプリ「ANA」には、SSL サーバ証明書の検証不備の脆弱性があります。 結果として、遠隔の第三者が通信内容を取得したり、改ざんしたりするなどの 可能性があります。 対象となるバージョンは次のとおりです。 - iOS アプリ「ANA」バージョン 4.0.22 およびそれ以前 この問題は、iOS アプリ「ANA」を全日本空輸株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、全日本空輸株式会社が提供 する情報を参照してください。
関連文書 (日本語)
全日本空輸株式会社
ANA
https://itunes.apple.com/jp/app/id382028327全日本空輸株式会社
スマートフォン用アプリケーション「ANA」
https://www.ana.co.jp/share/mobile/smartphone/app_ana/
■今週のひとくちメモ
○日本ネットワークセキュリティ協会が「SECCON 2018」の実施計画を公表
2018年6月11日、日本ネットワークセキュリティ協会 (JNSA) が主催する 「SECCON 2018(セクコン2018)」の実施計画が公表されました。「SECCON」 は、情報セキュリティがテーマのイベントで、情報セキュリティ人材を育成す ることを目的に、2013年度から開催されています。 「SECCON 2018」は、12月に秋葉原で開催されます。会場では情報セキュリティ の技術力を競う CTF の国内大会と国際大会をはじめ、カンファレンス、ワー クショップ、展示なども行われます。詳細は JNSA の情報を参照してください。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティコンテスト「SECCON 2018」開催について
http://www.jnsa.org/press/2018/180611.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
