US-CERT Current Activity
Microsoft Releases September 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/microsoft-releases-september-2019-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Lync
- Visual Studio
- Microsoft Exchange Server
- .NET Framework
- Microsoft Yammer
- .NET Core
- ASP.NET
- Team Foundation Server
- Project Rome

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.238) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.238) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.207) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Application Manager (インストーラー) バージョン 10.0 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/09/10/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Chrome 77.0.3865.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

【4】Mozilla Thunderbird に複数の脆弱性

情報源

Mozilla
Security vulnerabilities fixed in - Thunderbird 60.9
https://www.mozilla.org/en-US/security/advisories/mfsa2019-29/

Mozilla
Security vulnerabilities fixed in - Thunderbird 68.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-30/

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 60.9 より前のバージョン
- Mozilla Thunderbird 68.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

【5】複数の Intel 製品に脆弱性

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/intel-releases-security-updates

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇
格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Intel Easy Streaming Wizard 2.1.0731 より前のバージョン (INTEL-SA-00285)
- DDIO ならびに RDMA をサポートしている Intel Xeon E5, E7 およびスケーラブル・プロセッサー・ファミリー (INTEL-SA-00290)

この問題の内、INTEL-SA-00285 については、Intel Easy Streaming Wizard
を Intel が提供する修正済みのバージョンに更新することで解決します。
INTEL-SA-00290 については、Intel が提供する情報を参考に回避策の適用を
検討してください。詳細は、Intel が提供する情報を参照してください。

【6】ウイルスバスターコーポレートエディションおよびウイルスバスタービジネスセキュリティにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVNVU#94051551
ウイルスバスターコーポレートエディションおよびウイルスバスタービジネスセキュリティにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU94051551/

概要

ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネ
スセキュリティには、ディレクトリトラバーサルの脆弱性があります。結果と
して、遠隔の第三者が、当該製品が稼働するサーバ上の任意のファイルを変更
する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター コーポレートエディション XG SP1、XG および 11.0 SP1
- ウイルスバスター ビジネスセキュリティ 10.0、9.5 および 9.0

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

【7】SHIRASAGI にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#74699196
SHIRASAGI におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN74699196/

概要

SHIRASAGI には、オープンリダイレクトの脆弱性があります。結果として、遠
隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブ
サイトにリダイレクトさせる可能性があります。

対象となるバージョンは次のとおりです。

- SHIRASAGI v1.7.0 およびそれ以前

この問題は、SHIRASAGI を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

【8】OpenSSL に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/

概要

OpenSSL には、複数の脆弱性があります。結果として、第三者が機微な情報を
取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2t より前の 1.0.2 系のバージョン
- OpenSSL 1.1.0l より前の 1.1.0 系のバージョン
- OpenSSL 1.1.1d より前の 1.1.1 系のバージョン

なお、OpenSSL Project によると、OpenSSL 1.0.2 系のサポートは 2019年
12月31日に終了し、OpenSSL 1.1.0 系のサポートは 2019年9月11日に終了して
いるとのことです。OpenSSL 1.0.2 系か 1.1.0 系を使用している場合は、
1.1.1 系にアップグレードすることが推奨されています。

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。

【9】apng-drawable に整数オーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#39383894
apng-drawable における整数オーバーフローの脆弱性
https://jvn.jp/jp/JVN39383894/

概要

LINE 株式会社が提供する apng-drawable には、整数オーバーフローの脆弱性
があります。結果として、第三者が、任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- apng-drawable 1.0.0 から 1.6.0 まで

この問題は、apng-drawable を LINE 株式会社が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、LINE 株式会社が提供する情報を参
照してください。

【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#11708203
複数のリコー製プリンタおよび複合機における複数のバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN11708203/

概要

株式会社リコーが提供する複数のプリンタおよび複合機には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実
行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SP C250SF ファームウェア ver.1.13 より前のバージョン
- SP C252SF ファームウェア ver.1.13 より前のバージョン
- SP C250DN ファームウェア ver.1.07 より前のバージョン
- SP C252DN ファームウェア ver.1.07 より前のバージョン

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照
してください。

【11】Wireshark にリソースの枯渇に関する脆弱性

情報源

Wireshark Foundation
wnpa-sec-2019-21 Gryphon dissector infinite loop
https://www.wireshark.org/security/wnpa-sec-2019-21

概要

Wireshark には、リソースの枯渇に関する脆弱性があります。結果として、第
三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.0.0 から 3.0.3 までのバージョン
- Wireshark 2.6.0 から 2.6.10 までのバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性

情報源

GitLab
GitLab Critical Security Release: 12.2.5, 12.1.9, and 12.0.9
https://about.gitlab.com/2019/09/10/critical-security-release-gitlab-12-dot-2-dot-5-released/

概要

GitLab Enterprise Edition には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Enterprise Edition (EE) 12.2.5 より前の 12.2 系のバージョン
- GitLab Enterprise Edition (EE) 12.1.9 より前の 12.1 系のバージョン
- GitLab Enterprise Edition (EE) 12.0.9 より前の 12.0 系のバージョン
- GitLab Enterprise Edition (EE) 11 系のバージョン

この問題は、GitLab Enterprise Edition を GitLab が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、GitLab が提供する情報を参照
してください。

■今週のひとくちメモ

○「フィッシング対策セミナー 2019」開催のお知らせ

フィッシング対策協議会では、2020年の東京オリンピック・パラリンピック競
技大会に向けてさらに増加が予測されるフィッシング詐欺に対応するため、事
業者側の効果的な対策促進をテーマに「フィッシング対策セミナー 2019」を
開催いたします。
今年度のセミナーでは、フィッシング詐欺に関連する法執行機関、金融機関、
学術機関、セキュリティ対策事業者から有識者をお招きし、フィッシングの最
新の傾向とその対応策などをご紹介いたします。また、会場にはフィッシング
対策サービスや各種ソリューションの展示ブースもご用意いたします。本セミ
ナーは、大阪・東京の2都市で開催しますが、プログラム、所要時間、規模も
異なっております。

フィッシング対策セミナー 2019（大阪）：
  開催日時：2019年10月25日 (金) 13:00 - 16:30 (受付開始：12:15 -)

フィッシング対策セミナー 2019（東京）：
  開催日時：2019年11月 8日 (金) 13:00 - 18:00 (受付開始：12:15 -)

また、参加費は無料ですが、事前に参加申込みが必要となります。満席になり
次第、受付終了とさせていただきますので、ご了承ください。詳細は、フィッ
シング対策協議会が提供する情報を参照してください。

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策セミナー 2019（大阪）開催のご案内(new)
https://www.antiphishing.jp/news/event/antiphishing_seminar2019osaka.html

フィッシング対策協議会
フィッシング対策セミナー 2019（東京）開催のご案内(new)
https://www.antiphishing.jp/news/event/antiphishing_seminar2019tokyo.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-09-19号

<<< JPCERT/CC WEEKLY REPORT 2019-09-19 >>>

■09/08(日)〜09/14(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

○「フィッシング対策セミナー 2019」開催のお知らせ

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次