-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4901 JPCERT/CC 2017-12-20 <<< JPCERT/CC WEEKLY REPORT 2017-12-20 >>> ―――――――――――――――――――――――――――――――――――――― ■12/10(日)〜12/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Apple 製品に脆弱性 【3】Google Chrome に複数の脆弱性 【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題 【5】Qt for Android に複数の脆弱性 【今週のひとくちメモ】長期休暇に備えて 2017/12 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174901.html https://www.jpcert.or.jp/wr/2017/wr174901.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases December 2017 Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/12/Microsoft-Releases-December-2017-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office and Microsoft Office Services および Web Apps - Microsoft Exchange Server - Chakra Core - Microsoft Malware Protection Engine この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2017-12-13 2017年 12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2017/at170048.html 関連文書 (英語) Microsoft December 2017 Security Updates https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/c383fa60-b852-e711-80dd-000d3a32f9b6 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/12/Apple-Releases-Security-Updates US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/13/Apple-Releases-Security-Updates-iOS-and-tvOS 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iCloud for Windows 7.2 より前のバージョン - tvOS 11.2.1 より前のバージョン - iOS 11.2.1 より前のバージョン - AirPort Base Station Firmware 7.7.9 より前のバージョンの 7.7 系 - AirPort Base Station Firmware 7.6.9 より前のバージョンの 7.6 系 この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98418454 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98418454/ 関連文書 (英語) Apple About the security content of iCloud for Windows 7.2 https://support.apple.com/en-us/HT208328 Apple About the security content of tvOS 11.2.1 https://support.apple.com/en-us/HT208359 Apple About the security content of iOS 11.2.1 https://support.apple.com/en-us/HT208357 Apple About the security content of AirPort Base Station Firmware Update 7.6.9 https://support.apple.com/en-us/HT208258 Apple About the security content of AirPort Base Station Firmware Update 7.7.9 https://support.apple.com/en-us/HT208354 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2017/12/14/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 情報を取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 63.0.3239.108 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop_14.html 【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題 情報源 US-CERT Current Activity Transport Layer Security (TLS) Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/12/13/Transport-Layer-Security-TLS-Vulnerability CERT/CC Vulnerability Note VU#144389 TLS implementations may disclose side channel information via discrepencies between valid and invalid PKCS#1 padding https://www.kb.cert.org/vuls/id/144389 概要 報告者によると TLS 通信を行う複数のシステムに対して TLS 実装の不備が報 告されています。結果として、遠隔の第三者が TLS で暗号化されたデータを 解読する可能性があります。 対象となるシステムは次の通りです。 - TLS 通信を行うプログラム この問題は、TLS を実装する製品を各ベンダが提供する修正済みのバージョン に更新することで解決します。詳細は、各ベンダが提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92438713 複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題 https://jvn.jp/vu/JVNVU92438713/ 関連文書 (英語) The ROBOT Attack The ROBOT Attack - Return of Bleichenbacher's Oracle Threat https://robotattack.org/ 【5】Qt for Android に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#67389262 Qt for Android における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN67389262/ Japan Vulnerability Notes JVN#27342829 Qt for Android における環境変数を改ざん可能な脆弱性 https://jvn.jp/jp/JVN27342829/ 概要 The Qt Company が提供する Qt for Android には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Qt for Android 5.9.3 より前のバージョン この問題は、Qt for Android を The Qt Company が提供する修正済みのバー ジョンに更新することで解決します。詳細は、The Qt Company が提供する情 報を参照してください。 関連文書 (英語) The Qt Company Security advisory about Qt for Android https://blog.qt.io/blog/2017/11/22/security-advisory-qt-android/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○長期休暇に備えて 2017/12 2017年12月18日、JPCERT/CC は「長期休暇に備えて 2017/12」を公開しました。 この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策を今一度ご確認ください。 参考文献 (日本語) JPCERT/CC 長期休暇に備えて 2017/12 https://www.jpcert.or.jp/pr/2017/pr170003.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaObDeAAoJEDF9l6Rp7OBI8LkH/2Z9umcvh1iSdL0vnq2iWgwA UtbS7eJGDo3fYhWQMiShiMXjhaVDmnJ0M7xQ4NObGvDTVNGCQ9WKzA43ps2es/6N vzoppZuoK2p/axQxGbPwD/A86yJeKW2M4r8lFppoHfa5p6C4fDfjzGBhObTnopPp nKq+m5eB7vWefxI8Ds0mt/74Jwf81V9DxIAXkY1iYK06bfnk408BoLNzvUEpljKT RDSDBNW5iGoNejoE6u3TmlTya4o1bln9KzeKUvwZ3lmMg8LBJM0VZ9KmH+qCq4A2 Wq67jVL2GNCGRf08VeFwCtOWBHX56k8v4C6GR1eQOqMBP2uoIgkk21CEnY7SfXY= =w85/ -----END PGP SIGNATURE-----