<<< JPCERT/CC WEEKLY REPORT 2014-10-29 >>>
■10/19(日)〜10/25(土) のセキュリティ関連情報
目 次
【1】Microsoft OLE の処理に任意のコードが実行される脆弱性
【2】複数の Apple 製品に脆弱性
【3】NAT-PMP プロトコルを実装している複数の製品に問題
【今週のひとくちメモ】Internet Week 2014 のプログラム紹介
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr144201.txt
https://www.jpcert.or.jp/wr/2014/wr144201.xml
【1】Microsoft OLE の処理に任意のコードが実行される脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Advisory for Unpatched Windows Vulnerability
https://www.us-cert.gov/ncas/current-activity/2014/10/22/Microsoft-Releases-Advisory-Unpatched-Windows-Vulnerability
概要
Microsoft OLE の処理には脆弱性があります。結果として、遠隔の第三者が、 細工したファイルをユーザに開かせることで、任意のコードを実行する可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Windows Vista Service Pack 2 - Windows Vista x64 Edition Service Pack 2 - Windows Server 2008 for 32-bit Systems Service Pack 2 - Windows Server 2008 for x64-based Systems Service Pack 2 - Windows Server 2008 for Itanium-based Systems Service Pack 2 - Windows 7 for 32-bit Systems Service Pack 1 - Windows 7 for x64-based Systems Service Pack 1 - Windows Server 2008 R2 for x64-based Systems Service Pack 1 - Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 - Windows 8 for 32-bit Systems - Windows 8 for x64-based Systems - Windows 8.1 for 32-bit Systems - Windows 8.1 for x64-based Systems - Windows Server 2012 - Windows Server 2012 R2 - Windows RT - Windows RT 8.1 2014年10月28日現在、更新プログラムは公開されていません。以下のいずれ かの回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - Microsoft Fix it 51026 を適用する - Enhanced Mitigation Experience Toolkit (EMET) 5.0 の Attack Surface Reduction (ASR) 機能を使用するよう設定を追加する 詳細については、マイクロソフト株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ 3010060
Microsoft OLE の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-jp/library/security/3010060/JPCERT/CC Alert 2014-10-22
2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140043.html
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for iOS and Apple TV
https://www.us-cert.gov/ncas/current-activity/2014/10/20/Apple-Releases-Security-Updates-iOS-and-Apple-TVUS-CERT Current Activity
Apple Releases Security Updates for QuickTime
https://www.us-cert.gov/ncas/current-activity/2014/10/23/Apple-Releases-Security-Updates-QuickTime
概要
複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、中間者攻撃を実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8.1 より前のバージョン - Apple TV 7.0.1 より前のバージョン - QuickTime 7.7.6 より前のバージョン (Windows 版) この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple
About the security content of iOS 8.1
http://support.apple.com/kb/HT6541Apple
About the security content of Apple TV 7.0.1
http://support.apple.com/kb/HT6542Apple
About the security content of QuickTime 7.7.6
http://support.apple.com/kb/HT6493
【3】NAT-PMP プロトコルを実装している複数の製品に問題
情報源
CERT/CC Vulnerability Note VU#184540
Incorrect implementation of NAT-PMP in multiple devices
https://www.kb.cert.org/vuls/id/184540
概要
WAN 側からのリクエストに対して応答する NAT-PMP デバイスが、インターネッ ト上に大量に存在することが報告されています。報告者のレポートでは、 NAT-PMP の実装である miniupnpd を使った製品における実装上の不具合や使 用時の不適切な設定が、原因のひとつとして考えられると記載されています。 対象となる製品は以下の通りです。 - NAT-PMP を実装している製品 以下のいずれかの回避策を適用することで、この問題の影響を軽減することが 可能です。 - WAN 側からの NAT-PMP デバイスへのアクセスを制限する - NAT-PMP を無効にする 詳細については、使用している製品のベンダや配布元が提供する情報を参照し て下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99291862
複数の NAT-PMP デバイスが WAN 側から操作可能な問題
https://jvn.jp/vu/JVNVU99291862/
関連文書 (英語)
Rapid7
R7-2014-17: NAT-PMP Implementation and Configuration Vulnerabilities
https://community.rapid7.com/community/metasploit/blog/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities
■今週のひとくちメモ
○Internet Week 2014 のプログラム紹介
2014年11月18日(火) から 11月21日(金) まで、富士ソフトアキバプラザにおい て JPNIC 主催の Internet Week 2014 が開催されます。JPCERT/CC は企画・運 営の協力と後援をしており、以下のプログラムでは講師を務めています。 11月19日のプログラム: S9 標的型攻撃の現状と対策 2014 -事実は小説より奇なり- https://internetweek.jp/program/s09/ 11月21日のプログラム: D2 IP Meeting 2014 -あらためて”みんなの”インターネットを考えよう- https://internetweek.jp/program/d2/ 事前申込みの締め切りは 11月7日(金) までとなっております。ふるってご参加 ください。
参考文献 (日本語)
Internet Week 2014
Internet Week 2014 -あらためて”みんなの”インターネットを考えよう-
https://internetweek.jp/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/