<<< JPCERT/CC WEEKLY REPORT 2019-11-27 >>>

■11/17(日)〜11/23(土) のセキュリティ関連情報

目　次

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【2】Google Chrome に複数の脆弱性

【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性

【今週のひとくちメモ】「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2019/11/21/isc-releases-security-advisory-bind

概要

ISC BIND には、TCP クライアントの同時接続数の制限を迂回し、システムリ
ソースを過度に消費できる脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.14.1 から 9.14.7 まで
- BIND 9.12.4-P1 から 9.12.4-P2 まで
- BIND 9.11.6-P1 から 9.11.12 まで
- BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

なお、ISC によると開発版の BIND 9.15 系についても影響を受けます。また
BIND 9.11.0 より前のバージョンは、本脆弱性の検証対象外とのことです。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2019-6477） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

Japan Vulnerability Notes JVNVU#98706074
ISC BIND にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU98706074/

JPCERT/CC 注意喚起
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

関連文書 (英語)

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/11/19/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 78.0.3904.108 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop_18.html

【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/11/21/microsoft-releases-outlook-android-security-update

概要

Android 版 Microsoft Outlook には、メールスプーフィングによる攻撃が可
能な脆弱性があります。結果として、遠隔の第三者が細工したメールを送信す
ることで、メールの受信者の security context 上でスクリプトを実行する可
能性があります。

この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済
みのバージョンに更新することで解決します。詳細は、Microsoft が提供する
情報を参照してください。

関連文書 (英語)

Microsoft
CVE-2019-1460 | Outlook for Android Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1460

■今週のひとくちメモ

○「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ

・第11回TCG日本支部公開ワークショップ
2019年12月18日 (水) に秋葉原で「第11回TCG日本支部公開ワークショップ」
が開催されます。TCG日本支部が主催する本イベントは「IOT時代に求められる
Security by designのその先へ」をテーマに講演やパネルディスカッションが
行われます。JPCERT/CC は本イベントでの講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。

参加費：
   無料
日時および場所：
   12月18日 (水) 13:00 - 19:30
   秋葉原UDX 4F GALLERY NEXT1 & 3 (東京都千代田区外神田四丁目14-1)

・SecurityDay2019
2019年12月20日 (金) に熱海市で「SecurityDay2019」が開催されます。
SecurityDay運営委員会が主催する本イベントは、2019年を振り返り、これか
らのセキュリティについて参加者と意見交換を行うことを目的としています。
JPCERT/CC は本イベントでの講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。

参加費：
   無料
日時および場所:
   2019年12月20日 (金) 09:55 - 18:00
   KKRホテル熱海 (静岡県熱海市春日町7-39)

参考文献 (日本語)

TCG 日本支部 (TCG Japan Regional Forum)
第11回TCG日本支部公開ワークショップ
https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/

SecurityDay運営委員会
SecurityDay2019
http://www.securityday.jp/

■JPCERT/CC からのお願い