JPCERT-WR-2014-1801
2014-05-14
2014-04-27
2014-05-10
「Microsoft Internet Explorer に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2014-05-01 号【1】で紹介した「Microsoft
Internet Explorer に脆弱性」に関する追加情報です。
Microsoft はこの問題に対するセキュリティ更新プログラムを公開しました。
Windows ユーザの方は、速やかに適用することをおすすめします。詳細につい
ては、Microsoft が提供する情報を参照してください。
JPCERT/CC WEEKLY REPORT 2014-05-01 号
Microsoft Internet Explorer に脆弱性
https://www.jpcert.or.jp/wr/2014/wr141701.html#1
マイクロソフト
マイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-021
Adobe Flash Player にバッファオーバーフローの脆弱性
Adobe Flash Player には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 13.0.0.182 およびそれ以前 (Windows版)
- Adobe Flash Player 13.0.0.201 およびそれ以前 (Macintosh版)
- Adobe Flash Player 11.2.202.350 およびそれ以前 (Linux版)
この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新
することで解決します。詳細については、Adobe が提供する情報を参照して下
さい。
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html
独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)
https://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=13598
JPCERT/CC Alert 2014-04-30
Adobe Flash Player の脆弱性 (APSB14-13) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140019.html
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。
対象となるバージョンは以下の通りです。
- Firefox 29.0 より前のバージョン
- Firefox ESR 24.5 より前のバージョン
- Thunderbird 24.5 より前のバージョン
- Seamonkey 2.26 より前のバージョン
なお、5月9日にいくつかの不具合を修正した Firefox 29.0.1 がリリースされ
ています。
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014年4月29日)
http://www.mozilla-japan.org/security/announce/
Mozilla Japan
Firefox リリースノート バージョン 29.0.1 - 2014/05/09 リリース
http://www.mozilla.jp/firefox/29.0.1/releasenotes/
BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性
ISC BIND 9.10.0 には、プリフェッチ機能に実装上の不具合があります。結果
として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。
対象となるバージョンは以下の通りです。
- BIND 9.10.0
この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
ことで解決します。詳細については、ISC が提供する情報を参照して下さい。
ISC Knowledge Base
CVE-2014-3214: A Defect in Prefetch Can Cause Recursive Servers to Crash
https://kb.isc.org/article/AA-01161/
サイボウズ ガルーンに複数の脆弱性
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、サービス運用妨害 (DoS) 攻撃を行ったり、登録情報を削除したりす
る可能性があります。
対象となるバージョンは以下の通りです。
- サイボウズ ガルーン 2.0.0 から 3.7 Service Pack 3 まで
この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー
ンを更新することで解決します。詳細については、サイボウズが提供する情報
を参照して下さい。
サイボウズ株式会社
電話メモに関するサービス運用妨害 (DoS) の脆弱性
https://support.cybozu.com/ja-jp/article/8105
サイボウズ株式会社
KUNAIからアクセスすると、変更権限がない予定を削除できる。
https://support.cybozu.com/ja/article/5264
Cisco の WebEx Player に複数の脆弱性
Cisco の WebEx Player には、複数の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品は以下のとおりです。
- Cisco WebEx WRF Player
- Cisco WebEx ARF Player
この問題は、Cisco が提供する修正済みのバージョンに WebEx Player を更新
することで解決します。詳細については、Cisco が提供する情報を参照して下
さい。
Cisco
Multiple Vulnerabilities in the Cisco WebEx Recording Format and Advanced Recording Format Players
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140507-webex
intra-mart にオープンリダイレクトの脆弱性
intra-mart には、オープンリダイレクトの脆弱性があります。結果として、
遠隔の第三者が、フィッシング詐欺などに悪用する可能性があります。
対象となるバージョンは以下の通りです。
- intra-mart WebPlatform / AppFramework バージョン 6.0 から 7.2 まで
この問題は、NTTデータ イントラマートが提供する修正済みのバージョンに
intra-mart を更新することで解決します。詳細については、NTTデータ イン
トラマートが提供する情報を参照して下さい。
株式会社エヌ・ティ・ティ・データ・イントラマート
intra-mart におけるオープンリダイレクトの脆弱性
http://www.intra-mart.jp/developer/news/2014/05/JVN68340046.html
Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性
Fortinet Fortiweb には、クロスサイトリクエストフォージェリの脆弱性があ
ります。結果として、遠隔の第三者が、情報を取得したり、任意のコードを実
行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Fortinet Fortiweb 5.2.0 より前のバージョン
この問題は、Fortinet が提供する修正済みのバージョンに Fortiweb を更新
することで解決します。詳細については、Fortinet が提供する情報を参照し
て下さい。
Japan Vulnerability Notes JVNVU#99180587
Fortinet Fortiweb におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/vu/JVNVU99180587/index.html
FortiGuard Center
FortiWeb Cross-Site Request Forgery Vulnerability
http://www.fortiguard.com/advisory/FG-IR-14-013/
Google 検索アプライアンスのダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性
Google 検索アプライアンスのダイナミック ナビゲーションには、クロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Google 検索アプライアンス 7.2.0.G.114 より前のバージョン
- Google 検索アプライアンス 7.0.14.G.216 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google 検索アプラ
イアンスを更新することで解決します。詳細については、Google が提供する
情報を参照して下さい。
Japan Vulnerability Notes JVNVU#94205147
Google 検索アプライアンス ダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU94205147/index.html
APCERT Annual Report 2013 公開
アジア太平洋地域のシーサートの集まりである APCERT では、各チームの一年
間の参加報告をまとめた Annual Report を毎年公開しています。2014年5月1日に、
2013年の活動をまとめた Annual Report 2013 が公開されました。
アジア太平洋地域のシーサートがそれぞれどのような活動をしているか、また、
チーム間でどのような連携活動を行っているかを知るための参考資料として、
ご参照下さい。
APCERT
APCERT Annual Report 2013
http://www.apcert.org/documents/pdf/APCERT_Annual_Report_2013%28FINAL%29.pdf