<<< JPCERT/CC WEEKLY REPORT 2018-09-27 >>>

■09/16(日)〜09/22(土) のセキュリティ関連情報

目　次

【1】複数の Apple 製品に脆弱性

【2】Cisco Webex Network Recording Player に複数の脆弱性

【3】Adobe Acrobat および Reader に複数の脆弱性

【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題

【5】複数の Mozilla 製品に脆弱性

【今週のひとくちメモ】「フィッシング対策セミナー 2018」開催のお知らせ

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/17/Apple-Releases-Multiple-Security-Updates

Japan Vulnerability Notes JVNVU#93341447
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93341447/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apple Support 2.4 for iOS より前のバージョン
- Safari 12 より前のバージョン
- watchOS 5 より前のバージョン
- tvOS 12 より前のバージョン
- iOS 12 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (英語)

Apple
About the security content of Apple Support 2.4 for iOS
https://support.apple.com/en-us/HT209117

Apple
About the security content of Safari 12
https://support.apple.com/en-us/HT209109

Apple
About the security content of watchOS 5
https://support.apple.com/en-us/HT209108

Apple
About the security content of tvOS 12
https://support.apple.com/en-us/HT209107

Apple
About the security content of iOS 12
https://support.apple.com/en-us/HT209106

【2】Cisco Webex Network Recording Player に複数の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/19/Cisco-Releases-Security-Updates

概要

Cisco Webex Network Recording Player には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Webex Meetings Suite (WBS32) - Webex Network Recording Player WBS32.15.10 より前のバージョン
- Cisco Webex Meetings Suite (WBS33) - Webex Network Recording Player WBS33.3 より前のバージョン
- Cisco Webex Meetings Online - Webex Network Recording Player 1.3.37 より前のバージョン
- Cisco Webex Meetings Server - Webex Network Recording Player 3.0MR2 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Webex Network Recording Player Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180919-webex

【3】Adobe Acrobat および Reader に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/19/Adobe-Releases-Security-Updates

概要

Adobe Acrobat および Reader には、複数の脆弱性があります。結果として、
第三者が、任意のコードを実行したり、情報を窃取したりする可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版)
- Adobe Acrobat DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版)
- Adobe Acrobat DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2018-09-20
Adobe Reader および Acrobat の脆弱性 (APSB18-34) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180039.html

関連文書 (英語)

Adobe
Security bulletin for Adobe Acrobat and Reader | APSB18-34
https://helpx.adobe.com/security/products/acrobat/apsb18-34.html

【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題

情報源

US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2018/09/19/ISC-Releases-Security-Advisory-BIND

Japan Vulnerability Notes JVNVU#90728793
ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
https://jvn.jp/vu/JVNVU90728793/

概要

ISC BIND 9 のマニュアルには、Update policy 機能で提供されているルール
krb5-subdomain および ms-subdomain の説明が、実際の挙動と異なっている
問題があります。結果として、マニュアルの説明では許可しないはずのアップ
デートリクエストを受け付けてしまう可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.5 より前のバージョン
- BIND 9.12.3 より前のバージョン

2018年9月26日現在、この問題を修正したバージョンは公開されておりません。
開発者によると、本件への対策を行ったバージョンを 2018年10月中にリリー
ス予定とのことです。
また、次の回避策を適用することで、本問題の影響を回避することが可能です。

- 更新を許可する範囲を独立したゾーンとして設定する

詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（サービス提供者が意図しないDynamic Updateの許可）について（CVE-2018-5741）
https://jprs.jp/tech/security/2018-09-20-bind9-vuln-krb5-subdomain.html

関連文書 (英語)

Internet Systems Consortium
CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain
https://kb.isc.org/docs/cve-2018-5741

【5】複数の Mozilla 製品に脆弱性

情報源

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.2.1
https://www.mozilla.org/en-US/security/advisories/mfsa2018-23/

Mozilla
Security vulnerabilities fixed in Firefox 62.0.2
https://www.mozilla.org/en-US/security/advisories/mfsa2018-22/

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 62.0.2 より前のバージョン
- Mozilla Firefox ESR 60.2.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

■今週のひとくちメモ

○「フィッシング対策セミナー 2018」開催のお知らせ

フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ
シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ
シング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッ
シング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策
組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご
紹介いたします。

参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、
受付終了とさせていただきますので、ご了承ください。

日時および場所:
    2018年11月2日 (金) 13:00 - 18:00 (受付開始 12:15〜)
    大崎ブライトコアホール (JR 大崎駅 新東口)
    〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
    http://osaki-hall.jp/access/

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策セミナー 2018 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2018.html

■JPCERT/CC からのお願い