JPCERT-WR-2018-0201 2018-01-17 2018-01-07 2018-01-13

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/09/Microsoft-Releases-January-2018-Security-Updates

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office and Microsoft Office Services および Web Apps - SQL Server - ChakraCore - .NET Framework - .NET Core - ASP.NET Core この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解 決します。詳細は、Microsoft が提供する情報を参照してください。

JPCERT/CC https://www.jpcert.or.jp/at/2018/at180002.html マイクロソフト株式会社 https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/09/Adobe-Releases-Security-Updates-Flash-Player

Adobe Flash Player には、情報漏えいの脆弱性があります。結果として、遠隔 の第三者が情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Google Chrome 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 10 版、8.1 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Adobe が提供する情報を参照してください。

JPCERT/CC https://www.jpcert.or.jp/at/2018/at180001.html Adobe https://helpx.adobe.com/jp/security/products/flash-player/apsb18-01.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/11/Juniper-Networks-Releases-Security-Updates

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可 能性があります。 対象となる製品は次のとおりです。 - ScreenOS - Junos Space Security Director and Log Collector - CTPView - Junos Space - Junos OS - SRX シリーズ この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Juniper が提供する情報を参照してください。

Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10841 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10839 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10837 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10836 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10835 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10834 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10833 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10832 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10831 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10830 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10829 Juniper Networks https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10828

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/10/VMware-Releases-Security-Updates US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/11/VMware-Releases-Security-Updates-Workstation-Fusion

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザ がホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vCenter Server 6.5 U1e より前のバージョン - VMware vCenter Server 6.0 U3d より前のバージョン - VMware vCenter Server 5.5 U3g より前のバージョン - VMware vSphere ESXi 6.5 系のバージョン - VMware vSphere ESXi 6.0 系のバージョン - VMware vSphere ESXi 5.5 系のバージョン - VMware Workstation Pro / Player 14.1.1 より前のバージョン - VMware Workstation Pro / Player 12.5.9 より前のバージョン - VMware Fusion Pro / Fusion 10.1.1 より前のバージョン - VMware Fusion Pro / Fusion 8.5.10 より前のバージョン VMSA-2018-0005 の問題は、該当する製品を VMware が提供する修正済みのバー ジョンに更新することで解決します。また、VMSA-2018-0004.2 の問題 (CPU に 対するサイドチャネル攻撃の問題) は、対策の施されたバージョンを適用するこ とで影響が緩和されます。詳細は、VMware が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#93823979 https://jvn.jp/vu/JVNVU93823979/ VMware Security Advisories https://www.vmware.com/security/advisories/VMSA-2018-0004.html VMware Security Advisories https://www.vmware.com/security/advisories/VMSA-2018-0005.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/01/08/Apple-Releases-Multiple-Security-Updates

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が情報を 取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS High Sierra 10.13.2 - Safari 11.0.2 およびそれ以前 - iOS 11.2.2 より前のバージョン この問題 (CPU に対するサイドチャネル攻撃の問題) は、該当する製品に Apple が提供する対策の施されたバージョンを適用することで影響が緩和されます。詳 細は、Apple が提供する情報を参照してください。

Apple https://support.apple.com/ja-jp/HT208397 Apple https://support.apple.com/ja-jp/HT208403 Apple https://support.apple.com/ja-jp/HT208401 Japan Vulnerability Notes JVNVU#94630516 https://jvn.jp/vu/JVNVU94630516/ Japan Vulnerability Notes JVNVU#93823979 https://jvn.jp/vu/JVNVU93823979/

Japan Vulnerability Notes JVN#57842148 https://jvn.jp/jp/JVN57842148/

Lhaplus には、ZIP64 形式のファイル展開における検証不備の脆弱性があります。 結果として、第三者が、細工した ZIP64 形式のファイルを展開させることで、ユー ザの意図しないファイルを生成する可能性があります。 対象となるバージョンは次のとおりです。 - Lhaplus Version 1.73 およびそれ以前 この問題は、Lhaplus を開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。

Schezo http://www7a.biglobe.ne.jp/~schezo/JVN57842148.html

2018年1月8日 (米国時間)、Wi-Fi Alliance は新たな Wi-Fi 規格である WPA3 に関する情報を公開しました。これによると、WPA3 では新たに次のセキュリティ 対策が予定されています。 - 複雑性を欠いたパスワードが設定されている場合の保護を強化する機能 - ディスプレイのない機器などに対する Wi-Fi セキュリティ設定の容易化 - 個別のデータ暗号化によるオープンネットワークでの通信の保護 - 暗号規格「CNSA (Commercial National Security Algorithm) Suite」に準拠した暗号アルゴリズムの採用 なお、Wi-Fi Alliance によると、WPA3 に関する詳細情報を 2018年の後半に公 開する予定とのことです。 Wi-Fi Alliance https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements Wi-Fi Alliance https://www.wi-fi.org/discover-wi-fi/security