<<< JPCERT/CC WEEKLY REPORT 2019-06-19 >>>
■06/09(日)〜06/15(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】複数の Intel 製品に脆弱性
【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性
【7】Exim に検証不備の脆弱性
【8】Apple iCloud for Windows に複数の脆弱性
【9】複数の WordPress 用プラグインに脆弱性
【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性
【今週のひとくちメモ】NICT がマルウエアに感染している IoT 機器の利用者に対する注意喚起を実施
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192301.txt
https://www.jpcert.or.jp/wr/2019/wr192301.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases June 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Microsoft-Releases-June-2019-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - Skype for Business および Microsoft Lync - Microsoft Exchange Server - Azure この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 6 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/253dc509-9a5b-e911-a98e-000d3a33c573JPCERT/CC 注意喚起
2019年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190026.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe ColdFusion 2018 Update 3 およびそれ以前 - Adobe ColdFusion 2016 Update 10 およびそれ以前 - Adobe ColdFusion 11 Update 18 およびそれ以前 - Adobe Campaign Classic (19.1.1-9026) より前 (Windows および Linux) - Adobe Flash Player Desktop Runtime (32.0.0.192) およびそれ以前 (Windows, macOS および Linux) - Adobe Flash Player for Google Chrome (32.0.0.192) およびそれ以前 (Windows, macOS, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.192) およびそれ以前 (Windows 10 および Windows 8.1) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB19-27
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-27.htmlAdobe
Adobe Flash Player に関するセキュリティ速報 | APSB19-30
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-30.htmlJPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-30) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190025.htmlJPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019061202.html
関連文書 (英語)
Adobe
Security Bulletin for Adobe Campaign | APSB19-28
https://helpx.adobe.com/security/products/campaign/apsb19-28.html
【3】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-ThunderbirdMozilla
Security vulnerabilities fixed in Firefox 67.0.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-16/
概要
複数の Mozilla 製品には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 67.0.2 より前のバージョン (Windows) - Thunderbird 60.7.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
【4】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates, Mitigations for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Intel-Releases-Security-Updates-Mitigations-Multiple-Products
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が あります。 対象となる製品およびバージョンは、多岐に渡ります。詳細は、Intel が提供 するアドバイザリ情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95572531
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU95572531/JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019061201.html
関連文書 (英語)
Intel
INTEL-SA-00206 ITE Tech Consumer Infrared Driver for Windows 10 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00206.htmlIntel
INTEL-SA-00224 Intel Chipset Device Software (INF Update Utility) Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00224.htmlIntel
INTEL-SA-00226 Intel Accelerated Storage Manager in Intel Rapid Storage Technology Enterprise Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00226.htmlIntel
INTEL-SA-00232 Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00232.htmlIntel
INTEL-SA-00235 Intel SGX for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00235.htmlIntel
INTEL-SA-00243 Intel Turbo Boost Max Technology 3.0 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00243.htmlIntel
INTEL-SA-00247 Partial Physical Address Leakage Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00247.htmlIntel
INTEL-SA-00248 Open Cloud Integrity Technology and OpenAttestation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00248.htmlIntel
INTEL-SA-00257 Intel Omni-Path Fabric Manager GUI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00257.htmlIntel
INTEL-SA-00259 Intel RAID Web Console 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00259.htmlIntel
INTEL-SA-00264 Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00264.html
【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Google-Releases-Security-Updates-Chrome
概要
Google Chrome には、Blink における解放済みメモリ使用の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 75.0.3770.90 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop_13.html
【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Update for Cisco IOS XE
https://www.us-cert.gov/ncas/current-activity/2019/06/12/Cisco-Releases-Security-Update-Cisco-IOS-XE
概要
Cisco IOS XE Software には、クロスサイトリクエストフォージェリの脆弱性 があります。結果として、遠隔の第三者が、細工したページにユーザをアクセ スさせることにより、当該製品にログインしているユーザの権限で任意の操作 を行う可能性があります。 対象となる製品は次のとおりです。 - Cisco IOS XE Software この問題は、Cisco IOS XE Software を、Cisco が提供する修正済みのバージョン に更新することで解決します。詳細は、Cisco が提供する情報を参照してくだ さい。
関連文書 (英語)
Cisco Security Advisory
Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf
【7】Exim に検証不備の脆弱性
情報源
US-CERT Current Activity
Exim Releases Security Patches
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Exim-Releases-Security-Patches
概要
Exim には、検証不備の脆弱性があります。結果として、遠隔の第三者が任意 のコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Exim 4.87 から 4.91 までのバージョン この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。
関連文書 (英語)
Exim
CVE-2019-10149 Exim 4.87 to 4.91
https://www.exim.org/static/doc/security/CVE-2019-10149.txt
【8】Apple iCloud for Windows に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95342995
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95342995/
概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコード実行をしたり、権限昇格をしたりするなどの可 能性があります。 対象となるバージョンは次のとおりです。 - iCloud for Windows 10.4 より前のバージョン この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ さい。
関連文書 (英語)
Apple
About the security content of iCloud for Windows 10.4
https://support.apple.com/en-us/HT210212
【9】複数の WordPress 用プラグインに脆弱性
情報源
Japan Vulnerability Notes JVN#80925867
WordPress 用プラグイン Contest Gallery におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN80925867/Japan Vulnerability Notes JVN#96988995
WordPress 用プラグイン Online Lesson Booking における複数の脆弱性
https://jvn.jp/jp/JVN96988995/Japan Vulnerability Notes JVN#95685939
WordPress 用プラグイン Attendance Manager における複数の脆弱性
https://jvn.jp/jp/JVN95685939/
概要
複数の WordPress 用プラグインには、脆弱性があります。結果として、遠隔 の第三者が、細工したページにユーザをアクセスさせることで任意の操作を行っ たり、管理者権限を持つユーザのウェブブラウザ上で、任意のスクリプトを実 行したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Contest Gallery 10.4.5 より前のバージョン - Online Lesson Booking 0.8.6 およびそれ以前のバージョン - Attendance Manager 0.5.6 およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
SUKIMALAB.COM
OLB 0.8.7 Released [脆弱性の修正]
https://olbsys.com/fixed-vulnerability-issue/SUKIMALAB.COM
Attendance Manager 0.5.7 Released [脆弱性の修正]
http://attmgr.com/fixed-vulnerability-issue/
関連文書 (英語)
Contest Gallery
Changelog
https://wordpress.org/plugins/contest-gallery/#developersOnline Lesson Booking
Changelog
https://wordpress.org/plugins/online-lesson-booking-system/#developersAttendance Manager
Changelog
https://wordpress.org/plugins/attendance-manager/#developers
【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#89046645
Minecraft サーバ向けプラグイン Dynmap におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89046645/
概要
Minecraft サーバ向けプラグイン Dynmap には、アクセス制限不備の脆弱性が あります。結果として、遠隔の第三者がログインなしには本来取得できない画 像を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Dynmap v3.0-beta-3 およびそれ以前 この問題は、Minecraft サーバ向けプラグイン Dynmap を開発者が提供する修 正済みのバージョンに更新することで解決します。詳細は、開発者が提供する 情報を参照してください。
関連文書 (英語)
Webbukkit
Dynmap
https://github.com/webbukkit/dynmap
■今週のひとくちメモ
○NICT がマルウエアに感染している IoT 機器の利用者に対する注意喚起を実施
2019年6月14日、情報通信研究機構 (NICT) は、2019年2月より実施している 「NOTICE」の取り組みに加えて、マルウエアに感染していることが検知された 機器に対して、インターネットサービスプロバイダ (ISP) から利用者へ注意 喚起を行う取り組みを実施すると発表しました。 この取り組みは、「NICTER」プロジェクトから得られた情報を元にマルウエア が感染している IoT 機器の特定を行い ISP と連携して実施されます。
参考文献 (日本語)
情報通信研究機構 (NICT)
マルウェアに感染しているIoT機器の利用者に対する注意喚起の実施
https://www.nict.go.jp/press/2019/06/14-1.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/