-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-1101 JPCERT/CC 2015-03-18 <<< JPCERT/CC WEEKLY REPORT 2015-03-18 >>> ―――――――――――――――――――――――――――――――――――――― ■03/08(日)〜03/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player に複数の脆弱性 【3】複数の Apple 製品に脆弱性 【4】Telerik Analytics Monitor ライブラリに脆弱性 【今週のひとくちメモ】IPA「安全なウェブサイトの作り方 改訂第7版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr151101.html https://www.jpcert.or.jp/wr/2015/wr151101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases March 2015 Security Bulletin and Patches FREAK https://www.us-cert.gov/ncas/current-activity/2015/03/10/Microsoft-Releases-March-2015-Security-Bulletin 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア - Microsoft Exchange この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2015 年 3 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/library/security/ms15-mar JPCERT/CC Alert 2015-03-11 2015年3月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150007.html 【2】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/03/12/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第 三者が、細工したコンテンツをユーザに開かせることで、任意のコードを実行 するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 16.0.0.305 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 13.0.0.269 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.442 およびそれ以前 (Linux 版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Playerに関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb15-05.html JPCERT/CC Alert 2015-03-13 Adobe Flash Player の脆弱性 (APSB15-05) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150008.html 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Addresses FREAK and Releases Security Updates for OS X, iOS, and Apple TV https://www.us-cert.gov/ncas/current-activity/2015/03/09/Apple-Releases-Security-Updates-OS-X-iOS-and-Apple-TV 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8.2 より前のバージョン - AppleTV 7.1 より前のバージョン - OS X Yosemite v10.10.2 より前のバージョン - OS X Mavericks v10.9.5 より前のバージョン - OS X Mountain Lion v10.8.5 より前のバージョン - Xcode 6.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Apple が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90171154 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90171154/ 関連文書 (英語) Apple About the security content of iOS 8.2 https://support.apple.com/en-us/HT204423 Apple About the security content of Apple TV 7.1 https://support.apple.com/en-us/HT204426 Apple About Security Update 2015-002 https://support.apple.com/en-us/HT204413 Apple About the security content of Xcode 6.2 https://support.apple.com/en-us/HT204427 【4】Telerik Analytics Monitor ライブラリに脆弱性 情報源 CERT/CC Vulnerability Note VU#794095 Telerik Analytics Monitor Library allows DLL hijacking https://www.kb.cert.org/vuls/id/794095 概要 Telerik Analytics Monitor ライブラリには、脆弱性があります。結果として、 第三者が、悪意ある DLL をロードさせることで、アプリケーションのコンテ キストで任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Telerik Analytics Monitor ライブラリ バージョン 3.2.96 およびそれ以降で、3.2.125 より前のバージョン この問題は、Telerik が提供する修正済みのバージョンに Telerik Analytics Monitor ライブラリを更新することで解決します。詳細については、Telerik が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98897821 Telerik Analytics Monitor ライブラリに DLL ハイジャックが可能な脆弱性 https://jvn.jp/vu/JVNVU98897821/ 関連文書 (英語) Telerik Analytics Monitor Library v3.2.125 http://www.telerik.com/support/whats-new/analytics/release-history/details/analytics/analytics-monitor-library-3.2.125 Telerik Analytics Monitor Library v3.2.129 http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-v3.2.129 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA「安全なウェブサイトの作り方 改訂第7版」を公開 2015年3月12日、情報処理推進機構 (IPA) は「安全なウェブサイトの作り方 改訂第7版」を公開しました。この資料は、IPA への届け出件数の多かった脆 弱性や、影響の大きい脆弱性を解説し、ウェブサイトの安全性を向上させるた めの技術的な対策や運用時の方策を示しています。 今回の改訂によって、バッファオーバーフローやパスワードに関する対策など が追加されています。 参考文献 (日本語) IPA プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開 https://www.ipa.go.jp/about/press/20150312.html IPA 安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVCMTbAAoJEDF9l6Rp7OBIQL0IAIIEUS9ordKKvFQRslqrUeXW 0IglYodYN1qmkEPFVvdX6ST+OMxhkztefX5KwPm0p7GyrgHUllOv6LC6bJDy6O6v YzTn3SxmfYDSi5eFynTAY9xNRKQGH34kkFibkS5TMHtLaJuwNsmSRAn0eDvHN1RT z97P2rb7e5Ck7irXZRlcyFZv27KwCCEYsyiMZ8vYNCGIhjIOJyXsLlIdgTYklEQ2 AiKG/5KK7XU9Y5x3+Tl/Ucc4rEO+RoDxFeo10xjc0ouTOPkijvCb2Sy4RFbHxmlU 8jJ45RY53L14ghE9p7XUlnR5xx3ykr+TGN1ZKp4emMA/OvZjAYfsUmdPl4mSGSI= =DJ0z -----END PGP SIGNATURE-----