<<< JPCERT/CC WEEKLY REPORT 2017-12-20 >>>
■12/10(日)〜12/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題
【5】Qt for Android に複数の脆弱性
【今週のひとくちメモ】長期休暇に備えて 2017/12
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174901.txt
https://www.jpcert.or.jp/wr/2017/wr174901.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases December 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/12/Microsoft-Releases-December-2017-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office and Microsoft Office Services および Web Apps - Microsoft Exchange Server - Chakra Core - Microsoft Malware Protection Engine この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC Alert 2017-12-13
2017年 12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170048.html
関連文書 (英語)
Microsoft
December 2017 Security Updates
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/c383fa60-b852-e711-80dd-000d3a32f9b6
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/12/Apple-Releases-Security-UpdatesUS-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/13/Apple-Releases-Security-Updates-iOS-and-tvOS
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iCloud for Windows 7.2 より前のバージョン - tvOS 11.2.1 より前のバージョン - iOS 11.2.1 より前のバージョン - AirPort Base Station Firmware 7.7.9 より前のバージョンの 7.7 系 - AirPort Base Station Firmware 7.6.9 より前のバージョンの 7.6 系 この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98418454
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98418454/
関連文書 (英語)
Apple
About the security content of iCloud for Windows 7.2
https://support.apple.com/en-us/HT208328Apple
About the security content of tvOS 11.2.1
https://support.apple.com/en-us/HT208359Apple
About the security content of iOS 11.2.1
https://support.apple.com/en-us/HT208357Apple
About the security content of AirPort Base Station Firmware Update 7.6.9
https://support.apple.com/en-us/HT208258Apple
About the security content of AirPort Base Station Firmware Update 7.7.9
https://support.apple.com/en-us/HT208354
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2017/12/14/Google-Releases-Security-Update-Chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 情報を取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 63.0.3239.108 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop_14.html
【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題
情報源
US-CERT Current Activity
Transport Layer Security (TLS) Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/12/13/Transport-Layer-Security-TLS-VulnerabilityCERT/CC Vulnerability Note VU#144389
TLS implementations may disclose side channel information via discrepencies between valid and invalid PKCS#1 padding
https://www.kb.cert.org/vuls/id/144389
概要
報告者によると TLS 通信を行う複数のシステムに対して TLS 実装の不備が報 告されています。結果として、遠隔の第三者が TLS で暗号化されたデータを 解読する可能性があります。 対象となるシステムは次の通りです。 - TLS 通信を行うプログラム この問題は、TLS を実装する製品を各ベンダが提供する修正済みのバージョン に更新することで解決します。詳細は、各ベンダが提供する情報を参照してく ださい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92438713
複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題
https://jvn.jp/vu/JVNVU92438713/
関連文書 (英語)
The ROBOT Attack
The ROBOT Attack - Return of Bleichenbacher's Oracle Threat
https://robotattack.org/
【5】Qt for Android に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#67389262
Qt for Android における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN67389262/Japan Vulnerability Notes JVN#27342829
Qt for Android における環境変数を改ざん可能な脆弱性
https://jvn.jp/jp/JVN27342829/
概要
The Qt Company が提供する Qt for Android には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Qt for Android 5.9.3 より前のバージョン この問題は、Qt for Android を The Qt Company が提供する修正済みのバー ジョンに更新することで解決します。詳細は、The Qt Company が提供する情 報を参照してください。
関連文書 (英語)
The Qt Company
Security advisory about Qt for Android
https://blog.qt.io/blog/2017/11/22/security-advisory-qt-android/
■今週のひとくちメモ
○長期休暇に備えて 2017/12
2017年12月18日、JPCERT/CC は「長期休暇に備えて 2017/12」を公開しました。 この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策を今一度ご確認ください。
参考文献 (日本語)
JPCERT/CC
長期休暇に備えて 2017/12
https://www.jpcert.or.jp/pr/2017/pr170003.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/