-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2017-3101
                                                                   JPCERT/CC
                                                                  2017-08-16

            <<< JPCERT/CC WEEKLY REPORT 2017-08-16 >>>

――――――――――――――――――――――――――――――――――――――
■08/06(日)〜08/12(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Mozilla Firefox に複数の脆弱性
【4】Junos OS にヒープオーバーフローの脆弱性
【5】Symantec Messaging Gateway に複数の脆弱性
【6】WSR-300HP に任意のコードが実行可能な脆弱性
【7】WCR-1166DS に OS コマンドインジェクションの脆弱性
【8】Qua station接続ツール (Windows版) のインストーラに DLL 読み込みに関する脆弱性
【今週のひとくちメモ】CSAジャパンが「IoTへのサイバー攻撃仮想ストーリー集（第一版）」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2017/wr173101.html
        https://www.jpcert.or.jp/wr/2017/wr173101.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases August 2017 Security Updates
      https://www.us-cert.gov/ncas/current-activity/2017/08/08/Microsoft-Releases-August-2017-Security-Updates

    概要
      複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
      が任意のコードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Internet Explorer
      - Microsoft Edge
      - Microsoft Windows
      - Microsoft SharePoint
      - Microsoft SQL Server

      この問題は、Windows Update 等を用いて、更新プログラムを適用することで
      解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2017 年 8 月のセキュリティ更新プログラム
      https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/b3d96835-f651-e711-80dd-000d3a32fc99

      JPCERT/CC Alert 2017-08-09
      2017年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170032.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2017/08/08/Adobe-Releases-Security-Updates

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
      どの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Adobe Flash Player デスクトップランタイム 26.0.0.137 およびそれ以前 (Windows版、Macintosh版、Linux版)
      - Acrobat DC (Continuous Track) 2017.009.20058 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat Reader DC (Continuous Track) 2017.009.20058 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat 2017 2017.008.30051 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat Reader 2017 2017.008.30051 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat DC (Classic Track) 2015.006.30306 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat Reader DC (Classic Track) 2015.006.30306 およびそれ以前 (Windows版、Macintosh版)
      - Acrobat XI 11.0.20 およびそれ以前 (Windows版、Macintosh版)
      - Reader XI 11.0.20 およびそれ以前 (Windows版、Macintosh版)
      - Adobe Experience Manager 6.3
      - Adobe Experience Manager 6.2
      - Adobe Experience Manager 6.1
      - Adobe Experience Manager 6.0
      - Adobe Digital Editions 4.5.5 およびそれ以前 (Windows版、Macintosh版、iOS 版、Android 版)

      この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Flash Player 用のセキュリティアップデート公開 | APSB17-23
      https://helpx.adobe.com/jp/security/products/flash-player/apsb17-23.html

      Adobe セキュリティ情報
      Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-24
      https://helpx.adobe.com/jp/security/products/acrobat/apsb17-24.html

      Adobe セキュリティ情報
      Adobe Experience Manager に関するセキュリティアップデート公開 | APSB17-26
      https://helpx.adobe.com/jp/security/products/experience-manager/apsb17-26.html

      Adobe セキュリティ情報
      Adobe Digital Editions に関するセキュリティアップデート公開 | APSB17-27
      https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-27.html

      JPCERT/CC Alert 2017-08-09
      Adobe Flash Player の脆弱性 (APSB17-23) に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170030.html

      JPCERT/CC Alert 2017-08-09
      Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170031.html

【3】Mozilla Firefox に複数の脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2017/08/08/Mozilla-Releases-Security-Updates

    概要
      Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
      が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
      るなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Mozilla Firefox 55 より前のバージョン
      - Mozilla Firefox ESR 52.3 より前のバージョン

      この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
      に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
      ださい。

    関連文書 (英語)
      Mozilla
      Mozilla Foundation Security Advisories (August 8, 2017)
      https://www.mozilla.org/en-US/security/advisories/

【4】Junos OS にヒープオーバーフローの脆弱性

    情報源
      US-CERT Current Activity
      Juniper Networks Releases Junos OS Security Advisory
      https://www.us-cert.gov/ncas/current-activity/2017/08/09/Juniper-Networks-Releases-Junos-OS-Security-Updates

    概要
      Junos OS には、ヒープオーバーフローの脆弱性があります。結果として、遠
      隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
      行ったりする可能性があります。

      対象となるバージョンは次のとおりです。

      - Junos OS 12.1X46、12.3X48、15.1X49、14.2、15.1、15.1X53、16.1、16.2

      この問題は、Junos OS を Juniper Networks が提供する修正済みのバージョン
      に更新することで解決します。詳細は、Juniper Networks が提供する情報を
      参照してください。

    関連文書 (英語)
      Juniper Networks
      2017-07 Security Bulletin: Junos OS: Integer signedness error in GD Graphics Library (CVE-2016-3074)
      https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10798

【5】Symantec Messaging Gateway に複数の脆弱性

    情報源
      US-CERT Current Activity
      Symantec Releases Security Update
      https://www.us-cert.gov/ncas/current-activity/2017/08/11/Symantec-Releases-Security-Update

    概要
      Symantec Messaging Gateway には、複数の脆弱性があります。結果として、
      当該製品にアクセス可能なユーザが、管理者権限で任意の操作を行ったり、ユー
      ザのブラウザ上で意図しない操作を行ったりするなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Symantec Messaging Gateway 10.6.3-267 より前のバージョン

      この問題は、Symantec Messaging Gateway を Symantec が提供する修正済み
      のバージョンに更新することで解決します。詳細は、Symantec が提供する情
      報を参照してください。

    関連文書 (英語)
      Symantec
      Security Advisories Relating to Symantec Products - Symantec Messaging Gateway RCE and CSRF
      https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20170810_00

【6】WSR-300HP に任意のコードが実行可能な脆弱性

    情報源
      Japan Vulnerability Notes JVN#74871939
      WSR-300HP において任意のコードが実行可能な脆弱性
      https://jvn.jp/jp/JVN74871939/

    概要
      WSR-300HP には、任意のコードが実行可能な脆弱性があります。結果として、
      遠隔の第三者が、細工したリクエストを送信することで、任意のコードを実行
      する可能性があります。

      対象となるバージョンは次のとおりです。

      - WSR-300HP ファームウエア 2.30 およびそれ以前

      この問題は、WSR-300HP のファームウェアを株式会社バッファローが提供する
      修正済みのバージョンに更新することで解決します。詳細は、株式会社バッファ
      ローが提供する情報を参照してください。

    関連文書 (日本語)
      株式会社バッファロー
      WSR-300HPにおける任意のコードが実行可能な脆弱性
      http://buffalo.jp/support_s/s20170804_2.html

【7】WCR-1166DS に OS コマンドインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#05340005
      WCR-1166DS における OS コマンドインジェクションの脆弱性
      https://jvn.jp/jp/JVN05340005/

    概要
      WCR-1166DS には、OS コマンドインジェクションの脆弱性があります。結果と
      して、管理画面にアクセス可能なユーザが、任意の OS コマンドを実行する可
      能性があります。

      対象となるバージョンは次のとおりです。

      - WCR-1166DS ファームウェア 1.30 およびそれ以前

      この問題は、WCR-1166DS のファームウェアを株式会社バッファローが提供す
      る修正済みのバージョンに更新することで解決します。詳細は、株式会社バッ
      ファローが提供する情報を参照してください。

    関連文書 (日本語)
      株式会社バッファロー
      WCR-1166DSにおけるOSコマンドインジェクションの脆弱性
      http://buffalo.jp/support_s/s20170804_1.html

【8】Qua station接続ツール (Windows版) のインストーラに DLL 読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#81659403
      Qua station接続ツール (Windows版) のインストーラにおける DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN81659403/

    概要
      Qua station接続ツール (Windows版) のインストーラには、DLL 読み込みに関
      する脆弱性があります。結果として、第三者が任意のコードを実行する可能性
      があります。

      対象となるバージョンは次のとおりです。

      - Qua station接続ツール (Windows版) バージョン 1.00.03

      この問題は、KDDI 株式会社が提供する最新のインストーラでは解決していま
      す。なお、すでに Qua station接続ツール (Windows版) をインストールして
      いる場合には、この問題の影響はありません。

    関連文書 (日本語)
      KDDI 株式会社
      Qua station（キュア ステーション）
      https://www.au.com/mobile/product/4glte-photostorage/quastation/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○CSAジャパンが「IoTへのサイバー攻撃仮想ストーリー集（第一版）」を公開

      2017年8月6日、日本クラウドセキュリティアライアンス (CSAジャパン) は、
      「IoTへのサイバー攻撃仮想ストーリー集（第一版）」を公開しました。この
      ドキュメントは、IoT 機器やシステムに対する仮想の攻撃シナリオ集で、「病
      院システムへのマルウエア感染」や「監視カメラシステムの画像流出」など、
      10 の攻撃シナリオの影響、原因、対策がまとめられています。

    参考文献 (日本語)
      日本クラウドセキュリティアライアンス (CSAジャパン)
      「IoTへのサイバー攻撃仮想ストーリー集（第一版）」(2017年8月1日)を公開しました。
      https://www.cloudsecurityalliance.jp/newsite/?p=3069

      日本クラウドセキュリティアライアンス (CSAジャパン)
      IoTへのサイバー攻撃仮想ストーリー集
      https://cloudsecurityalliance.jp/WG_PUB/IoT_WG/scenario.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2017 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJZk4uZAAoJEDF9l6Rp7OBI6qcIAJql7Rt75Iu2YPJ+srg1pYTd
Mrmod2x2zFKMPSl5DXatg+GgB4ClGqxj6wvIDNqrPV14d+0IhrofrWX/xnnGLDVj
z/gXQerUF8HSyVheVLh0c11OoFekJCWGxLeWmIdg4suR58kuJRgvTgGSxpXJO/Vl
47DyJstITdUiBBdxERgpImxNNJHP9mySLtp7Xn/xwJ2R91hXE0oNFq67KVOl1fg7
5qFQHdKRA+2go96ovKPLE+dvAUCyspRYAo6vWpu0i2MKr7kw72Vy670KOdhDLPNg
fDxojBZtmr5AmaqS91+2MUh8uNypOU/qqu4gazpF7kJoKd0QOmY9lZcpMBgLErI=
=aaPC
-----END PGP SIGNATURE-----