JPCERT コーディネーションセンター

Weekly Report 2021-04-21号

JPCERT-WR-2021-1601
JPCERT/CC
2021-04-21

<<< JPCERT/CC WEEKLY REPORT 2021-04-21 >>>

■04/11(日)〜04/17(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のアドビ製品に脆弱性

【3】複数のSAP製品に脆弱性

【4】Google Chromeに複数の脆弱性

【5】WordPressに複数の脆弱性

【6】複数のJuniper製品に脆弱性

【7】Apple GarageBandに情報窃取の脆弱性

【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性

【今週のひとくちメモ】JPCERT/CCが「2021年1月から3月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211601.txt
https://www.jpcert.or.jp/wr/2021/wr211601.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/apply-microsoft-april-2021-security-update-mitigate-newly

概要

複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2021 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr

JPCERT/CC 注意喚起
2021年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210017.html

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/adobe-releases-security-updates

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe RoboHelp
- Adobe Bridge
- Adobe Digital Editions
- Adobe Photoshop 2020
- Adobe Photoshop 2021

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021041401.html

関連文書 (英語)

アドビ
Security update available for RoboHelp | APSB21-20
https://helpx.adobe.com/security/products/robohelp/apsb21-20.html

アドビ
Security Updates Available for Adobe Bridge | APSB21-23
https://helpx.adobe.com/security/products/bridge/apsb21-23.html

アドビ
Security Updates Available for Adobe Digital Editions | APSB21-26
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-26.html

アドビ
Security updates available for Adobe Photoshop | APSB21-28
https://helpx.adobe.com/security/products/photoshop/apsb21-28.html

【3】複数のSAP製品に脆弱性

情報源

CISA Current Activity
SAP Releases April 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/sap-releases-april-2021-security-updates

概要

複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day April 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649

【4】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/google-releases-security-updates-chrome

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.72より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_14.html

【5】WordPressに複数の脆弱性

情報源

CISA Current Activity
WordPress Releases Security and Maintenance Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/16/wordpress-releases-security-and-maintenance-update

概要

WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が情報
窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 4.7から5.7までのすべてのバージョン

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (日本語)

WordPress
WordPress 5.7.1 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2021/04/15/wordpress-5-7-1-security-and-maintenance-release/

【6】複数のJuniper製品に脆弱性

情報源

CISA Current Activity
Juniper Networks Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/juniper-networks-releases-security-updates

概要

複数のJuniper製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Juniper Networks Paragon Active Assurance Control Center
- Juniper Networks AppFormix 3
- Junos Space
- Junos Space Security Director
- Juniper Secure Analytics
- Juniper Networks Session and Resource Control
- Junos OS Evolved

この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。

関連文書 (英語)

Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【7】Apple GarageBandに情報窃取の脆弱性

情報源

Apple
About the security content of GarageBand 10.4.3
https://support.apple.com/en-us/HT212299

概要

GarageBandには、脆弱性があります。結果としてローカルの第三者が機密情報
を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- GarageBand 10.4.3より前のバージョン

この問題は、GarageBandをAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
GarageBandに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021041502.html

【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#54025691
スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN54025691/

概要

スマートフォンアプリ「ぐるなび」には、アクセス制限不備の脆弱性がありま
す。結果として遠隔の第三者が、当該製品を経由させユーザーを任意のウェブ
サイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ぐるなび」ver.10.0.10およびそれ以前
- iOSアプリ「ぐるなび」ver.11.1.2およびそれ以前

この問題は、該当する製品を株式会社ぐるなびが提供する修正済みのバージョ
ンに更新することで解決します。

■今週のひとくちメモ

○JPCERT/CCが「2021年1月から3月を振り返って」を公開

2021年4月15日、JPCERT/CCは、「2021年1月から3月を振り返って」を公開しま
した。2021年1月以降に確認された利用数の多い製品に関する悪用された脆弱
性や、マルウェアEmotetの感染端末の通知を受けた際の対応などをまとめてい
ます。またゴールデンウィークの対応について記載しています。自組織の対応
状況のご確認にご活用ください。

参考文献 (日本語)

JPCERT/CC CyberNewsFlash
2021年1月から3月を振り返って
https://www.jpcert.or.jp/newsflash/2021041501.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter