JPCERT コーディネーションセンター

Weekly Report 2020-09-16号

JPCERT-WR-2020-3601
JPCERT/CC
2020-09-16

<<< JPCERT/CC WEEKLY REPORT 2020-09-16 >>>

■09/06(日)〜09/12(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】複数の Intel 製品に脆弱性

【4】Google Chrome に複数の脆弱性

【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性

【6】OpenSSL に暗号通信を解読可能な脆弱性

【7】AirStation WHR-G54S に複数の脆弱性

【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題

【今週のひとくちメモ】日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203601.txt
https://www.jpcert.or.jp/wr/2020/wr203601.xml

【1】複数の Microsoft 製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases September 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/microsoft-releases-september-2020-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- SQL Server
- Microsoft Jet データベース エンジン
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Dynamics
- Visual Studio
- Microsoft Exchange Server
- ASP.NET
- Microsoft OneDrive
- Azure DevOps

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Sep

JPCERT/CC 注意喚起
2020年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200036.html

【2】複数の Adobe 製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/adobe-releases-security-updates

概要

複数の Adobe 製品には脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe InDesign
- Adobe FrameMaker
- Adobe Experience Manager 
- AEM Forms アドオン

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020090902.html

Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-52
https://helpx.adobe.com/jp/security/products/indesign/apsb20-52.html

Adobe
Adobe FrameMaker に関するセキュリティアップデート公開 | APSB20-54
https://helpx.adobe.com/jp/security/products/framemaker/apsb20-54.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-56.html

【3】複数の Intel 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#98381439
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98381439

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020090901.html

概要

Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。

詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【4】Google Chrome に複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 85.0.4183.102 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop.html

【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#32396594
Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN32396594

概要

株式会社ヨドバシカメラが提供する Android アプリ「ヨドバシ」には、アク
セス制限不備の脆弱性があります。結果として、遠隔の第三者が当該製品を経
由し任意の Web サイトへアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ヨドバシ」 バージョン 1.8.7 およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Google Play
ヨドバシ
https://play.google.com/store/apps/details?id=com.yodobashi.iShop

【6】OpenSSL に暗号通信を解読可能な脆弱性

情報源

Japan Vulnerability Notes JVNVU#91973538
OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)
https://jvn.jp/vu/JVNVU91973538

概要

OpenSSL には、暗号通信を解読可能な脆弱性があります。結果として、遠隔の
第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって、暗号通信の盗聴を
行う可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン

なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのこと
です。
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [09 September 2020]
https://www.openssl.org/news/secadv/20200909.txt

【7】AirStation WHR-G54S に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#09166495
AirStation WHR-G54S における複数の脆弱性
https://jvn.jp/jp/JVN09166495

概要

AirStation WHR-G54S には複数の脆弱性があります。結果として、遠隔の第三
者が、ログインしているユーザのブラウザ上で任意のスクリプトを実行するな
どの可能性があります。

対象となるバージョンは次のとおりです。

- WHR-G54S ファームウェア 1.43 およびそれ以前

なお、開発者によると、当該製品はすでにサポートが終了しているとのことで
す。
恒久的な対策として、代替製品の使用を検討してください。代替製品について
は開発者が提供する情報を参考にしてください。

関連文書 (日本語)

株式会社バッファロー
WHR-G54Sにおける複数の脆弱性について
https://www.buffalo.jp/news/detail/20200911-01.html

【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題

情報源

Japan Vulnerability Notes JVNVU#95246155
CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題
https://jvn.jp/vu/JVNVU95246155

概要

Bluetooth BR/EDR および BLE のペアリング処理にて Cross-Transport Key
Derivation (CTKD) を用いている場合、鍵情報を上書される問題があります。
結果として、遠隔の第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって
機器内に保持している LTK や LK を改ざんし、認証されていない鍵や、より
強度の低い鍵の使用を強制する可能性があります。

対象となる機器は次のとおりです。

- Bluetooth Core Specification 4.0 および 5.0 に基づいて CTKD を実装しているBluetooth 機器

この問題は、各機器のベンダから提供される最新のファームウェアへアップデー
トするなどの対応を実施してください。詳細は、ベンダが提供する情報を参照
してください。

関連文書 (英語)

CERT/CC
Devices supporting Bluetooth BR/EDR and LE using CTKD are vulnerable to key overwrite
https://kb.cert.org/vuls/id/589825

Bluetooth SIG
Bluetooth SIG Statement Regarding the Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy Vulnerability (BLURtooth)
https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/

■今週のひとくちメモ

○日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開

2020年9月3日、日本シーサート協議会は「新型ウイルス感染リスク禍における
CSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)-」を公開し
ました。本資料は、新型コロナウイルス感染症拡大や緊急事態宣言において
メンバーの安全確保、感染防止を行いながら CSIRT 活動を継続して実施する
ために検討整理すべき点をまとめています。組織の CSIRT 活動の環境整備に
活用してください。

参考文献 (日本語)

日本シーサート協議会 (日本コンピュータセキュリティインシデント対応チーム協議会)
新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)-
https://www.nca.gr.jp/activity/imgs/CSIRTcorrespondence%20practice%20collection-ver.1.0.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter