JPCERT-WR-2017-4801
2017-12-13
2017-12-03
2017-12-09
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザの情報を取得したりするなどの可能性があ
ります。
対象となる製品およびバージョンは次のとおりです。
- iOS 11.2 より前のバージョン
- tvOS 11.2 より前のバージョン
- watchOS 4.2 より前のバージョン
- macOS High Sierra 10.13.2 より前のバージョン
- macOS Sierra
- OS X El Capitan
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
Apple
About the security content of iOS 11.2
https://support.apple.com/en-us/HT208334
Apple
About the security content of tvOS 11.2
https://support.apple.com/en-us/HT208327
Apple
About the security content of watchOS 4.2
https://support.apple.com/en-us/HT208325
Apple
About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
https://support.apple.com/en-us/HT208331
JPCERT/CC
macOS High Sierra の設定に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170045.html
Microsoft Malware Protection Engine に複数の脆弱性
Microsoft Malware Protection Engine には、複数の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となる製品は次のとおりです。
- Windows Defender
- Windows Intune Endpoint Protection
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Forefront Endpoint Protection
- Microsoft Endpoint Protection
- Microsoft Security Essentials
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
Microsoft
CVE-2017-11937 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11937
Microsoft
CVE-2017-11940 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11940
JPCERT/CC
Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性(CVE-2017-11937)に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170046.html
Mozilla Firefox に複数の脆弱性
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、ユーザの閲覧履歴情報を取得したり、サービス運用妨害 (DoS) 攻撃を行っ
たりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 57.0.2 より前のバージョン
- Mozilla Firefox ESR 52.5.2 より前のバージョン
この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
Mozilla
Mozilla Foundation Security Advisories (December 7, 2017 & November 29, 2017)
https://www.mozilla.org/en-US/security/advisories/
Apache Struts 2 に複数の脆弱性
Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Apache Struts 2.5 から 2.5.14 まで
この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。
The Apache Software Foundation
Struts 2.5.14.1
https://struts.apache.org/download.cgi
Apache Struts 2 Documentation
S2-054
https://cwiki.apache.org/confluence/display/WW/S2-054
Apache Struts 2 Documentation
S2-055
https://cwiki.apache.org/confluence/display/WW/S2-055
Google Chrome に複数の脆弱性
Google Chrome には複数の脆弱性があります。結果として、遠隔の第三者が情
報を取得するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 63.0.3239.84 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop.html
Fluentd にエスケープシーケンスインジェクションの脆弱性
Fluentd には、エスケープシーケンスインジェクションの脆弱性があります。
結果として、遠隔の第三者が、細工したログを Fluentd に受信させることで、
任意のコマンドを実行したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Fluentd バージョン 0.12.29 から 0.12.40 まで
この問題は、Fluentd を Cloud Native Computing Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Cloud Native
Computing Foundation が提供する情報を参照してください。
Cloud Native Computing Foundation
Release 0.12.41 - 2017/11/15
https://github.com/fluent/fluentd/blob/v0.12/CHANGELOG.md#release-01241---20171115
Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストーラに DLL 読み込みに関する脆弱性
Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストー
ラには、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意
のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- 公的個人認証サービス 利用者クライアントソフト Ver3.1 およびそれ以前
この問題は、地方公共団体情報システム機構が提供する最新のインストーラで
は解決しています。なお、すでに「公的個人認証サービス 利用者クライアン
トソフト」をインストールしている場合には、この問題の影響はありません。
詳細は地方公共団体情報システム機構が提供する情報を参照してください。
地方公共団体情報システム機構
Windowsをご利用の方
https://www.jpki.go.jp/download/win.html
NICT が実践的サイバー演習「サイバーコロッセオ」の実施を発表
2017年12月7日、情報通信研究機構 (NICT) は、東京2020オリンピック・パラ
リンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」を、
2018年2月から実施することを発表しました。この演習は、大会関連組織のセ
キュリティ担当者を対象としており、高度かつ多様な攻撃に対処可能な能力を
有するサイバーセキュリティ人材を育成していくことを目的としています。大
会開催までの 3年間で行われる演習では、大会開催時に想定されるサイバー攻
撃を再現し、攻撃や防御手法の検証および訓練などの実践的なトレーニングが
行われる予定です。
情報通信研究機構 (NICT)
東京2020オリンピック・パラリンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」の実施について
https://www.nict.go.jp/press/2017/12/07-1.html
情報通信研究機構 (NICT)
攻撃・防御双方の実践的演習「サイバーコロッセオ」
https://colosseo.nict.go.jp/