JPCERT-WR-2017-2302 2017-06-21 2017-06-11 2017-06-17

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2017/06/13/Microsoft-Releases-June-2017-Security-Updates

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - Silverlight - Skype for Business - Microsoft Lync この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。

マイクロソフト株式会社 https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/40969d56-1b2a-e711-80db-000d3a32fc99 JPCERT/CC Alert 2017-06-14 https://www.jpcert.or.jp/at/2017/at170022.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2017/06/13/Adobe-Releases-Security-Updates

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 25.0.0.171 およびそれ以前 (Windows版、Macintosh版、Linux版) - Adobe Shockwave Player 12.2.8.198 およびそれ以前 (Windows版) - Adobe Captivate 9 およびそれ以前 (Windows版、Macintosh版) - Adobe Digital Editions 4.5.4 およびそれ以前 (Windows版、Macintosh版、iOS版、Android版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。

Adobe セキュリティ情報 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-17.html Adobe セキュリティ情報 https://helpx.adobe.com/jp/security/products/shockwave/apsb17-18.html Adobe セキュリティ情報 https://helpx.adobe.com/jp/security/products/captivate/apsb17-19.html Adobe セキュリティ情報 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-20.html JPCERT/CC Alert 2017-06-14 https://www.jpcert.or.jp/at/2017/at170021.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2017/06/13/Mozilla-Releases-Security-Updates US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2017/06/15/Mozilla-Releases-Security-Update

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 54 より前のバージョン - Mozilla Firefox ESR 52.2 より前のバージョン - Mozilla Thunderbird 52.2 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。

Mozilla Japan http://www.mozilla-japan.org/security/announce/

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2017/06/15/ISC-Releases-Security-Updates-BIND

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行ったり、第三者が任意のコードを実行したりす る可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.2.6-P2 から 9.2.9 まで - BIND 9.3.2-P1 から 9.3.6 まで - BIND 9.4.0 から 9.8.8 まで - BIND 9.9.0 から 9.9.10 まで - BIND 9.10.0 から 9.10.5 まで - BIND 9.11.0 から 9.11.1 まで - BIND 9.9.3-S1 から 9.9.10-S1 まで - BIND 9.10.5-S1 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。

株式会社日本レジストリサービス (JPRS) https://jprs.jp/tech/security/2017-06-15-bind9-vuln-unquoted-service-path.html 株式会社日本レジストリサービス (JPRS) https://jprs.jp/tech/security/2017-06-15-bind9-vuln-rpz-loop.html 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) https://www.nic.ad.jp/ja/topics/2017/20170615-01.html Japan Vulnerability Notes JVNVU#94071181 https://jvn.jp/vu/JVNVU94071181/ ISC Knowledge Base https://kb.isc.org/article/AA-01496/74/CVE-2017-3141 ISC Knowledge Base https://kb.isc.org/article/AA-01495/74/CVE-2017-3140

Japan Vulnerability Notes JVN#27198823 https://jvn.jp/jp/JVN27198823/

防衛装備庁が提供する電子入札・開札システムのインストーラには、意図しな い実行ファイルの呼び出しに関する脆弱性があります。結果として、第三者が 任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - 電子入札・開札システムのインストーラ この問題は、防衛省防衛装備庁が提供する最新のインストーラでは解決してい ます。なお、すでに当該インストーラにて電子入札・開札システムの応札者環 境を構築済みの場合は、本脆弱性の影響を受けません。

Japan Vulnerability Notes JVN#51355647 https://jvn.jp/jp/JVN51355647/

WordPress 用プラグイン WP-Members には、クロスサイトスクリプティングの 脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意 のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WP-Members 3.1.8 より前のバージョン この問題は、WP-Members を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。

WP-Members https://wordpress.org/plugins/wp-members/#developers

Japan Vulnerability Notes JVN#79738260 https://jvn.jp/jp/JVN79738260/

WordPress 用プラグイン WordPress Download Manager には、複数の脆弱性が あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリ プトを実行したり、細工した URL にユーザをアクセスさせることで、任意の ウェブサイトにリダイレクトさせたりする可能性があります。 対象となるバージョンは次のとおりです。 - WordPress Download Manager 2.9.51 より前のバージョン この問題は、WordPress Download Manager を W3 Eden, Inc. が提供する修正 済みのバージョンに更新することで解決します。詳細は、W3 Eden, Inc. が提 供する情報を参照してください。

WordPress Download Manager https://wordpress.org/plugins/download-manager/#developers

Japan Vulnerability Notes JVN#56787058 https://jvn.jp/jp/JVN56787058/

WordPress 用プラグイン WP Job Manager には、アクセス制限不備の問題があ ります。結果として、遠隔の第三者が画像ファイルをアップロードする可能性 があります。 対象となるバージョンは次のとおりです。 - WP Job Manager 1.26.2 より前のバージョン この問題は、WP Job Manager を Automattic Inc. が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Automattic Inc. が提供する情 報を参照してください。

情報処理推進機構 (IPA) https://www.ipa.go.jp/security/ciadr/vul/20170615-jvn.html WP Job Manager https://wordpress.org/plugins/wp-job-manager/#developers

Japan Vulnerability Notes JVN#56588965 https://jvn.jp/jp/JVN56588965/

Android アプリ「サイボウズ KUNAI for Android」には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使 用しているユーザのデバイス上で、任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - サイボウズ KUNAI for Android 3.0.0 から 3.0.6 まで この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供す る修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株 式会社が提供する情報を参照してください。

サイボウズ株式会社 https://support.cybozu.com/ja-jp/article/9909

Japan Vulnerability Notes JVN#94771799 https://jvn.jp/jp/JVN94771799/

QuickTime for Windows のインストーラには、任意の DLL 読み込みに関する 脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ ります。 対象となる製品は次のとおりです。 - QuickTime for Windows のインストーラ 2017年6月21日現在、当該製品の開発は停止しています。当該製品をインストー ルしないでください。詳細は、Apple が提供する情報を参照してください。

Apple https://support.apple.com/kb/DL837?locale=ja_JP&viewlocale=en_US

CERT/CC Vulnerability Note VU#846320 https://www.kb.cert.org/vuls/id/846320

Samsung Magician には、更新の確認や更新データの取得に関する脆弱性があ ります。結果として、遠隔の第三者が、中間者攻撃によって任意のコードを実 行する可能性があります。 対象となるバージョンは次のとおりです。 - Samsung Magician version 5.1 より前のバージョン この問題は、Samsung Magician を Samsung Memory が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Samsung Memory が提供する情 報を参照してください。

Japan Vulnerability Notes JVNVU#99188315 https://jvn.jp/vu/JVNVU99188315/

CERT/CC Vulnerability Note VU#768399 https://www.kb.cert.org/vuls/id/768399

HPE SiteScope には、複数の脆弱性があります。結果として、遠隔の第三者が、 当該製品を使用しているシステム上の任意のファイルを取得したり、認証情報 を取得したりする可能性があります。 対象となるバージョンは次のとおりです。他のバージョンでもこの問題の影響 を受ける可能性があります。 - SiteScope 11.31.461 2017年6月21日現在、対策済みのバージョンは公開されていません。次の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - 古い API を無効にする - キーマネージメント機能を有効にする 詳細は、Hewlett Packard Enterprise が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#97705299 https://jvn.jp/vu/JVNVU97705299/

Japan Vulnerability Notes JVN#25078144 https://jvn.jp/jp/JVN25078144/

ソースコードセキュリティ検査ツール iCodeChecker には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を 使用しているユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となる製品は次のとおりです。 - ソースコードセキュリティ検査ツール iCodeChecker 2017年6月21日現在、ソースコードセキュリティ検査ツール iCodeChecker の 開発およびサポートは終了しています。ソースコードセキュリティ検査ツール iCodeChecker の使用を停止してください。詳細は、情報処理推進機構 (IPA) が提供する情報を参照してください。

情報処理推進機構 (IPA) https://www.ipa.go.jp/security/vuln/iCodeChecker/

US-CERT Alert (TA17-163A) https://www.us-cert.gov/ncas/alerts/TA17-163A

2017年6月12日、US-CERT は、ESET 社および Dragos 社のレポートをもとに、 注意喚起「CrashOverride Malware」を公開しました。本注意喚起では、マル ウエア CrashOverride について、電力システムの監視や制御を行うための通 信プロトコル (IEC101、IEC104、IEC61850 などの規格に準拠したもの) を使 用し、制御システムの運用妨害や機密情報の取得を行う可能性があるとして注 意を呼びかけています。

Japan Vulnerability Notes JVNTA#99970831 https://jvn.jp/ta/JVNTA99970831/

2017年6月16日、フィッシング対策協議会は、2016年に公開された「フィッシン グ対策ガイドライン」の改訂版を公開しました。このガイドラインは、サービ ス事業者と利用者それぞれにおけるフィッシング詐欺対策の要件をまとめたも ので、今回の改訂により、ユーザに提供するアプリケーションの安全性の確保 や、端末の安全性の確認など、4つの要件が追加されたとのことです。 フィッシング対策協議会 https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf フィッシング対策協議会 https://www.antiphishing.jp/report/guideline/antiphishing_guideline2017.html