JPCERT-WR-2014-2301
2014-06-18
2014-06-08
2014-06-14
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft Lync
- Microsoft Lync サーバー
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。なお、この更新には、 JPCERT/CC REPORT 2014-05-28 号【1】
で紹介した問題に対する修正も含まれています。詳細については、Microsoft
が提供する情報を参照して下さい。
マイクロソフト株式会社
2014 年 6 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-jun
独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(2014年6月)
https://www.ipa.go.jp/security/ciadr/vul/20140611-ms.html
警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)
https://www.npa.go.jp/cyberpolice/topics/?seq=13952
JPCERT/CC Alert 2014-06-11
2014年6月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140025.html
Microsoft Security TechCenter
Microsoft Security Bulletin Summary for June 2014
https://technet.microsoft.com/en-us/security/bulletin/ms14-jun
JPCERT/CC WEEKLY REPORT 2014-05-28 号
Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性
https://www.jpcert.or.jp/wr/2014/wr142001.html#1
複数の Adobe 製品に脆弱性
Adobe の Flash Player および Air には、複数の脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行したり、アクセス制限を回避した
りする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Flash Player 13.0.0.214 およびそれ以前 (Windows、Macintosh 版)
- Adobe Flash Player 11.2.202.359 およびそれ以前 (Linux 版)
- Adobe AIR 13.0.0.111 およびそれ以前 (Windows、Macintosh および Android 版)
- Adobe AIR SDK and Compiler 13.0.0.111 およびそれ以前
- Adobe AIR SDK 13.0.0.111 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに Flash Player および
Air を更新することで解決します。詳細については、Adobe が提供する情報を
参照して下さい。
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-16.html
独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-16)(CVE-2014-0531等)
https://www.ipa.go.jp/security/ciadr/vul/20140611-adobeflashplayer.html
JPCERT/CC Alert 2014-06-11
Adobe Flash Player の脆弱性 (APSB14-16) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140026.html
Adobe Security Bulletin
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb14-16.html
ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性
複数のジャストシステム製品に同梱されたオンラインアップデートプログラム
には、アップデートモジュールの電子署名が不正であった場合でも、アップデ
ートプログラムを実行してしまう脆弱性があります。結果として、不正なアッ
プデートモジュールを実行することで、遠隔の第三者が任意のコードを実行す
る可能性があります。
影響を受ける製品は広範囲に及び、以下のプログラムが添付されている全製品
が影響を受けます。詳細については、ジャストシステムが提供する情報を参照
して下さい。
- JUSTオンラインアップデート
- JUSTオンラインアップデート for J-License および管理ツール
この問題は、ジャストシステムが提供する修正済みのバージョンに「JUSTオン
ラインアップデート」および「JUSTオンラインアップデート for J-License、
およびその管理ツール」を更新することで解決します。詳細については、ジャ
ストシステムが提供する情報を参照して下さい。
ジャストシステム株式会社
[JS14002] ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策
https://www.justsystems.com/jp/info/js14002.html
独立行政法人情報処理推進機構 (IPA)
複数のジャストシステム製品同梱の「オンラインアップデートプログラム」に任意のコード実行可能な脆弱性について(JVN#50129191)
https://www.ipa.go.jp/security/ciadr/vul/20140611-jvn.html
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、クリックジャッキング攻撃を実行したりする可能
性があります。
対象となるバージョンは以下の通りです。
- Firefox 30.0 より前のバージョン
- Firefox ESR 24.6 より前のバージョン
- Thunderbird 24.6 より前のバージョン
- Seamonkey 2.26.1 より前のバージョン
- Netscape Portable Runtime 4.10.6 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan
Firefox リリースノート バージョン 30.0 - 2014/06/10 リリース
http://www.mozilla.jp/firefox/30.0/releasenotes/
Mozilla
Mozilla Foundation Security Advisories (June 10, 2014)
http://www.mozilla.org/security/announce/
ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性
ISC BIND 9 には、EDNS0 のオプションの処理に問題があります。結果として、
遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- 9.10.0 および 9.10.0-P1
この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
ことで解決します。詳細については、ISC が提供する情報を参照して下さい。
JPRS
(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開)
http://jprs.jp/tech/security/2014-06-12-bind9-vuln-edns-option.html
JPNIC
ISC BIND 9.10に関する脆弱性について(2014年6月)
https://www.nic.ad.jp/ja/topics/2014/20140612-02.html
JPCERT/CC Alert 2014-06-12
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-3859) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140027.html
Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性
Cisco の AsyncOS には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Email Security Appliance 8.0 およびそれ以前
- Cisco Web Security Appliance 8.0 およびそれ以前
- Cisco Content Security Management Appliance 8.3 およびそれ以前
この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する
ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#98777725
Cisco AsyncOS 製品にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98777725/index.html
Cisco Security Notice
Cisco AsyncOS Cross-Site Scripting Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289
SEIL シリーズにサービス運用妨害 (DoS) の脆弱性
SEIL シリーズには、サービス運用妨害 (DoS) の脆弱性があります。結果とし
て、遠隔の第三者が、細工した TCP パケットを送信することで、PPPAC 機能
を用いて接続したセッションを切断したり、接続の受付を停止させたりする可
能性があります。
対象となる製品およびバージョンは以下の通りです。
- SEIL/x86 1.00 から 3.10 まで
- SEIL/X1 1.00 から 4.50 まで
- SEIL/X2 1.00 から 4.50 まで
- SEIL/B1 1.00 から 4.50 まで
- SEIL/Turbo 1.80 から 2.17 まで
- SEIL/neu 2FE Plus 1.80 から 2.17 まで
この問題は、株式会社インターネットイニシアティブが提供する修正済みのバ
ージョンにファームウェアを更新することで解決します。詳細については、株
式会社インターネットイニシアティブが提供する情報を参照して下さい。
株式会社インターネットイニシアティブ
PPPアクセスコンセントレータ(PPPAC)機能のサービス運用妨害(DoS)の脆弱性
http://www.seil.jp/support/security/a01443.html
IT製品の調達におけるセキュリティ要件リスト
2014年5月19日、経済産業省は「IT製品の調達におけるセキュリティ要件リス
ト」を公開しました。また、これにあわせて、情報処理推進機構 (IPA) は
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開
しました。
これは、デジタル複合機 (MFP) やファイアウォールなど 7つの製品分野を対
象として、製品に対する脅威とその対策をまとめたものです。
社内システムの調達において、要件を策定する際の参考として活用してみては
いかがでしょうか。
経済産業省
「IT製品の調達におけるセキュリティ要件リスト」を策定しました
http://www.meti.go.jp/press/2014/05/20140519003/20140519003.html
独立行政法人情報処理推進機構 (IPA)
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の公開
https://www.ipa.go.jp/security/it-product/guidebook.html