JPCERT-WR-2015-4201
2015-11-05
2015-10-25
2015-10-31
Adobe Shockwave Player に任意のコードが実行可能な脆弱性
Adobe Shockwave Player には、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が、細工したコンテンツを開かせることによって、
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Shockwave Player 12.2.0.162 およびそれ以前 (Windows 版、Macintosh 版)
この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player
を更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ
さい。
Adobe Security Bulletin
Security update available for Adobe Shockwave Player
https://helpx.adobe.com/security/products/shockwave/apsb15-26.html
複数のルータ製品にクリックジャッキングの脆弱性
複数のルータ製品には、クリックジャッキングの脆弱性があります。結果とし
て、遠隔の第三者が、クリックジャッキング攻撃によって、ユーザに意図しな
い操作をさせる可能性があります。
影響を受ける製品は複数あります。詳細は、各ベンダや配布元が提供する情報
を参照してください。
FAQ for YAMAHA RT Series
「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN48135658.html
バッファロー製品セキュリティ情報
クリックジャッキング対策の不備の脆弱性
http://buffalo.jp/support_s/s20151030.html
プラネックスコミュニケーションズ株式会社
クリックジャッキングの脆弱性への対応についてのお知らせ
http://www.planex.co.jp/news/info/20151030_info.shtml
EC-CUBE にクロスサイトリクエストフォージェリの脆弱性
EC-CUBE には、クロスサイトリクエストフォージェリの脆弱性があります。結
果として、遠隔の第三者が、ユーザに細工したコンテンツを開かせることで、
任意の PHP コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- EC-CUBE 2.11.0 から 2.13.3 まで
この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細は、株式会社ロックオンが提供する情報を
参照してください。
EC-CUBE
クロスサイトリクエストフォージェリの脆弱性
https://www.ec-cube.net/info/weakness/weakness.php?id=63
HP ArcSight SmartConnector に複数の脆弱性
HP ArcSight SmartConnector には、複数の脆弱性があります。結果として、
遠隔の第三者が、中間者攻撃を行ったり、管理者権限でデバイスにアクセスし
たりする可能性があります。
対象となる製品は以下の通りです。
- ArcSight SmartConnector 7.1.6 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに ArcSight SmartConnector
を更新することで解決します。詳細は、HP が提供する情報を参照してくださ
い。
Japan Vulnerability Notes JVNVU#93796805
HP ArcSight SmartConnector に複数の脆弱性
https://jvn.jp/vu/JVNVU93796805/
EPSON Network Utility に権限昇格の脆弱性
EPSON Network Utility には、権限昇格の脆弱性があります。結果として、Windows
にログイン可能なユーザが、SYSTEM 権限で任意のコードを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- EPSON Network Utility v4.10
この問題は、Epson America, Inc. が提供する修正済みのバージョンに EPSON
Network Utility を更新することで解決します。詳細は、Epson America, Inc.
が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#93369775
EPSON Network Utility に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93369775/
Epson Security Notification
Privilege Escalation Vulnerability
http://www.epson.com/cgi-bin/Store/support/supAdvice.jsp?type=highlights¬eoid=288045
縁sys に複数の脆弱性
縁sys には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の
コードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりす
るなどの可能性があります。
対象となるバージョンは以下の通りです。
- 縁sys バージョン1.4.0 およびそれ以前
この問題は、株式会社テクノプロジェクトが提供する修正済みのバージョンに
縁sys を更新することで解決します。詳細は、株式会社テクノプロジェクトが
提供する情報を参照してください。
縁sys セキュリティ情報
2015年10月28日 SQLインジェクションの脆弱性への対応について
https://www.tpj.co.jp/enisys/security_2015102801.html
縁sys セキュリティ情報
2015年10月28日 任意のファイルを作成される脆弱性への対応について
https://www.tpj.co.jp/enisys/security_2015102802.html
縁sys セキュリティ情報
2015年10月28日 クロスサイトスクリプティングの脆弱性への対応について
https://www.tpj.co.jp/enisys/security_2015102803.html
縁sys セキュリティ情報
2015年10月28日 アクセス制限不備の脆弱性への対応について
https://www.tpj.co.jp/enisys/security_2015102804.html
HTML::Scrubber にクロスサイトスクリプティングの脆弱性
HTML::Scrubber には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。
対象となるバージョンは以下の通りです。
- HTML::Scrubber version 0.14 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに HTML::Scrubber を更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
HTML::Scrubber
Changes for version 0.15
https://metacpan.org/release/HTML-Scrubber
IPA が「情報セキュリティ対策ベンチマーク バージョン4.4」と「診断の基礎データの統計情報」を公開
2015年10月27日、情報処理推進機構 (IPA) は、「情報セキュリティ対策ベン
チマーク バージョン4.4」と「診断の基礎データの統計情報」を公開しました。
「情報セキュリティ対策ベンチマーク バージョン4.4」は、ISMS 認証基準を
ベースに、より簡単にセキュリティ対策の取組み状況を確認するための自己診
断システムで、他社の取組み状況と比較できるものです。「診断の基礎データ
の統計情報」は、実際に診断を行った企業の診断データ 3,999件の統計情報を
まとめたものです。
情報処理推進機構 (IPA)
「情報セキュリティ対策ベンチマーク バージョン4.4」と「診断の基礎データの統計情報」を公開
https://www.ipa.go.jp/security/benchmark/benchmark_20151027.html