JPCERT コーディネーションセンター

Weekly Report 2020-01-22号

JPCERT-WR-2020-0301
JPCERT/CC
2020-01-22

<<< JPCERT/CC WEEKLY REPORT 2020-01-22 >>>

■01/12(日)〜01/18(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】2020年 1月 Oracle Critical Patch Update について

【4】複数の Intel 製品に脆弱性

【5】Google Chrome に複数の脆弱性

【6】VMware Tools に権限昇格の脆弱性

【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性

【今週のひとくちメモ】JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200301.txt
https://www.jpcert.or.jp/wr/2020/wr200301.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases January 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/microsoft-releases-january-2020-security-updates

US-CERT Current Activity
Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- ASP.NET Core
- .NET Core
- .NET Framework
- OneDrive for Android
- Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。なお、2020年1月17日 (米国時間) に公開された Microsoft
Internet Explorer の脆弱性 (CVE-2020-0674) については、2020年1月21日
時点で、解決策は提供されていません。Microsoft が提供する情報を参照し、
回避策の適用や別の Web ブラウザの使用を検討してください。詳細は、
Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan

JPCERT/CC 注意喚起
2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200001.html

JPCERT/CC 注意喚起
Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html

関連文書 (英語)

マイクロソフト株式会社
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

CERT/CC Vulnerability Note VU#338824
Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃
取したり、実行ユーザの権限で任意のコードを実行したりする可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- Adobe Experience Manager 6.5、6.4、6.3
- Adobe Illustrator CC 2019 24.0 およびそれ以前のバージョン (Windows)

なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、
6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用
している場合は、サポート対象のバージョンをご使用ください。

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020011501.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-01
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-01.html

Adobe
Adobe Illustrator CC に関するセキュリティアップデート公開 | APSB20-03
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-03.html

【3】2020年 1月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases January 2020 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200002.html

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory - January 2020
https://www.oracle.com/security-alerts/cpujan2020.html

【4】複数の Intel 製品に脆弱性

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#98694410
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98694410/

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020011502.html

関連文書 (英語)

Intel
INTEL-SA-00300: Intel SNMP Subagent Stand-Alone Advisory for Windows
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00300.html

Intel
INTEL-SA-00306: Intel Chipset Device Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00306.html

Intel
INTEL-SA-00308: Intel RWC 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00308.html

Intel
INTEL-SA-00314: Intel Processor Graphics Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00314.html

Intel
INTEL-SA-00325: Intel VTune Amplifier for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00325.html

Intel
INTEL-SA-00332: Intel DAAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00332.html

【5】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/17/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.130 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

【6】VMware Tools に権限昇格の脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/01/14/vmware-releases-security-update

概要

VMware Tools には、権限昇格の脆弱性があります。結果として、ゲスト OS
のユーザが権限を昇格する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Tools 10 系のバージョン (Windows)

この問題は、VMware Tools を VMware が提供する脆弱性の影響を受けないバー
ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2020-0002
https://www.vmware.com/security/advisories/VMSA-2020-0002.html

【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性

情報源

Japan Vulnerability Notes JVN#37183636
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN37183636/

Japan Vulnerability Notes JVN#49593434
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN49593434/

概要

トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性があり
ます。結果として、第三者が秘密鍵や機微な情報を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- パスワードマネージャー Windows 版 5.0.0.1076 およびそれ以前のバージョン
- パスワードマネージャー Windows 版 3.8.0.1103 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 5.0.1047 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 3.8.0.1052 およびそれ以前のバージョン

この問題は、トレンドマイクロ製パスワードマネージャーをトレンドマイクロ
株式会社が提供する修正済みのバージョンに更新することで解決します。詳細
は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-19696)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx

トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-15625)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1123614.aspx

■今週のひとくちメモ

○JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開

日本情報経済社会推進協会 (JIPDEC) は、個人情報保護に関する社内向け教育
参考資料を公開しており、2020年1月15日には新たな資料「紛失・盗難を防ご
う」を公開しました。実際の事故から原因や再発防止策を整理しています。個
人情報の取扱いに関する事故を防ぐため、従業者に対するルールの周知徹底な
どにご活用ください。

参考文献 (日本語)

日本情報経済社会推進協会 (JIPDEC)
お役立ちツール
https://privacymark.jp/system/reference/index.html#tools

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter