-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1101 JPCERT/CC 2014-03-19 <<< JPCERT/CC WEEKLY REPORT 2014-03-19 >>> ―――――――――――――――――――――――――――――――――――――― ■03/09(日)〜03/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Apple iOS および Apple TV に複数の脆弱性 【4】Webmin にクロスサイトスクリプティングの脆弱性 【5】CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性 【6】WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】IPA、2014年版 情報セキュリティ10大脅威を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141101.html https://www.jpcert.or.jp/wr/2014/wr141101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 Microsoft Security TechCenter Microsoft Security Bulletin Summary for March 2014 http://technet.microsoft.com/en-us/security/bulletin/ms14-mar 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、権限を昇格したりする可能性があります。 対象となる製品は以下の通りです。 - Internet Explorer - Microsoft Windows - Microsoft Silverlight この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで 解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 Microsoft 2014 年 3 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms14-mar 警察庁@Police マイクロソフト社のセキュリティ修正プログラムについて(MS14-012,013,014,015,016) http://www.npa.go.jp/cyberpolice/topics/?seq=13264 独立行政法人情報処理推進機構 Microsoft 製品の脆弱性対策について(2014年3月) http://www.ipa.go.jp/security/ciadr/vul/20140312-ms.html JPCERT/CC Alert 2014-03-12 2014年3月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140011.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Security Updates Available for Adobe Flash Player http://www.us-cert.gov/ncas/current-activity/2014/03/12/Security-Updates-Available-Adobe-Flash-Player US-CERT Current Activity Adobe Releases Security Update for Shockwave Player http://www.us-cert.gov/ncas/current-activity/2014/03/13/Adobe-Releases-Security-Update-Shockwave-Player 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 12.0.0.70 およびそれ以前 (Windows版/Mac版) - Adobe Flash Player 11.2.202.341 およびそれ以前 (Linux版) - Adobe Shockwave Player 12.0.9.149 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当の製品を更新する ことで解決します。詳細については、Adobe が提供する情報を参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 http://helpx.adobe.com/jp/security/products/flash-player/apsb14-08.html Adobeセキュリティ情報 Adobe Shockwave Player用セキュリティアップデート公開 http://helpx.adobe.com/jp/security/products/shockwave/apsb14-10.html 【3】Apple iOS および Apple TV に複数の脆弱性 情報源 US-CERT Current Activity Security Updates Released for iOS devices and Apple TV http://www.us-cert.gov/ncas/current-activity/2014/03/12/Security-Updates-Released-iOS-devices-and-Apple-TV 概要 Apple iOS および Apple TV には、複数の脆弱性があります。結果として、遠 隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行 したりする可能性があります。 対象となるバージョンは以下の通りです。 - iOS 7.1 より前のバージョン - Apple TV 6.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iOS および Apple TV を更新することで解決します。詳細については、Apple が提供する情報を参照 して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94229445 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94229445/index.html Japan Vulnerability Notes JVNVU#90170014 Apple TV における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90170014/index.html 関連文書 (英語) Apple About the security content of iOS 7.1 http://support.apple.com/kb/HT6162 Apple About the security content of Apple TV 6.1 http://support.apple.com/kb/HT6163 【4】Webmin にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#381692 Webmin contains a cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/381692 概要 Webmin には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Webmin 1.670 およびそれ以前 この問題は、Webmin が提供する修正済みのバージョンに Webmin を更新するこ とで解決します。詳細については、Webmin が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98372554 Webmin にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU98372554/index.html 関連文書 (英語) Webmin Change Log: Version 1.680 (13th March 2014) http://www.webmin.com/changes.html 【5】CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性 情報源 ICS-CERT Advisory (ICSA-14-070-01) Yokogawa CENTUM CS 3000 Vulnerabilities https://ics-cert.us-cert.gov/advisories/ICSA-14-070-01 概要 CENTUM CS 3000 操作監視機能には、複数のバッファオーバーフローの脆弱性が あります。結果として、遠隔の第三者が、プロセスを停止したり、任意のコー ドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - CENTUM CS 3000 R3.09.50 およびそれ以前 この問題は、横河電機株式会社が提供する修正済みのバージョンに CENTUM CS 3000 を更新することで解決します。詳細については、横河電機株式会社が提供 する情報を参照して下さい。 関連文書 (日本語) 横河電機株式会社 YSAR-14-0001: CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性 http://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0001.pdf Japan Vulnerability Notes JVNVU#98181377 CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU98181377/index.html 【6】WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#807134 WatchGuard Fireware XTM devices contain a cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/807134 概要 WatchGuard Fireware XTM には、クロスサイトスクリプティングの脆弱性があ ります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Fireware XTM 11.8.1 およびそれ以前 この問題は、WatchGuard Technologies が提供する修正済みのバージョンに Fireware XTM を更新することで解決します。詳細については、WatchGuard Technologies が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93903343 WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU93903343/index.html 関連文書 (英語) WatchGuard Security Center Fireware XTM 11.8.3 Update Corrects XSS Flaw http://watchguardsecuritycenter.com/2014/03/13/fireware-xtm-11-8-3-update-corrects-xss-flaw/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA、2014年版 情報セキュリティ10大脅威を公開 昨年にひきつづき、IPA (独立行政法人情報処理推進機構) が「2014年版 情報 セキュリティ10大脅威」を公開しました。このドキュメントは、情報セキュリ ティ分野の研究者や企業の実務担当者などの意見をもとに、以下の3章構成で、 近年の情報システムを取り巻く脅威について解説しています。 - 第1章 セキュリティ脅威の分類と傾向 - 第2章 2014年版10大脅威 - 第3章 今後注目すべき脅威 社内 IT 環境のセキュリティを検討する際に参考にしてみてはいかがでしょうか。 参考文献 (日本語) IPA 2014年版 情報セキュリティ10大脅威 https://www.ipa.go.jp/security/vuln/10threats2014.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTKOdLAAoJEDF9l6Rp7OBIi7YH+wWJahTrmMgSHu4/MOrn6V1c APW2qDg/UAuhD6RsY8VoEhwVrvVeqRGsQGoklLClcCeX6K4h2pi3zl7OMG1NyftR NuGpKSQYXFfcbzltU8KeKYJVgd163YJu5iNvwOfQ6xKGWctkKh3FweHsec0Qzq/j sRb2tAI8smacc99bDntXUiUv2qFqzNRI2IabiPGFoXkKOn7EUA7Vs2AkIOrM4ii2 ZyiFrMca1ab3sgha4HsOU782ItbyDoxO7PbcxoeoK9q7BOJN1KMfAipo2Qg2Z10w cKBVC5/dowPbnINLcunTT0ARc73zvPgfmN5Au65TvUpkmedTZS2APpMgMNeJN3E= =d3op -----END PGP SIGNATURE-----