-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-1801 JPCERT/CC 2018-05-16 <<< JPCERT/CC WEEKLY REPORT 2018-05-16 >>> ―――――――――――――――――――――――――――――――――――――― ■05/06(日)〜05/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Mozilla Firefox に複数の脆弱性 【4】Google Chrome に複数の脆弱性 【5】複数の Pivotal Software 製品に脆弱性 【6】Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題 【7】統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃 【8】WordPress 用プラグイン Ultimate Member に複数の脆弱性 【9】Android アプリ「IIJ SmartKey」に認証不備の脆弱性 【10】スマートフォンアプリ「キネパス」に SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】JNSA が「CISO ハンドブック」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr181801.html https://www.jpcert.or.jp/wr/2018/wr181801.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases May 2018 Security Updates https://www.us-cert.gov/ncas/current-activity/2018/05/08/Microsoft-Releases-May-2018-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - .NET Framework - Microsoft Exchange Server この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2018 年 5 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/a82328f9-1f26-e811-a968-000d3a33a34d JPCERT/CC Alert 2018-05-09 2018年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180021.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/05/08/Adobe-Releases-Security-Updates-0 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 29.0.0.140 およびそれ以前 (Windows 版、Macintosh 版 および Linux 版) - Google Chrome 用の Adobe Flash Player 29.0.0.140 およびそれ以前 (Windows 版、Macintosh 版、Linux 版 および Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.140 およびそれ以前 (Windows 10 版 および 8.1 版) - Creative Cloud デスクトップアプリケーション 4.4.1.298 およびそれ以前 (Windows 版 および Macintosh 版) - Adobe Connect 9.7.5 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開 | APSB18-12 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb18-12.html Adobe Flash Player 用のセキュリティアップデート公開 | APSB18-16 https://helpx.adobe.com/jp/security/products/flash-player/apsb18-16.html Adobe Adobe Connect 用のセキュリティアップデート | APSB18-18 https://helpx.adobe.com/jp/security/products/connect/apsb18-18.html JPCERT/CC Alert 2018-05-09 Adobe Flash Player の脆弱性 (APSB18-16) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180020.html 【3】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2018/05/09/Mozilla-Releases-Security-Updates-Firefox 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 60 より前のバージョン - Mozilla Firefox ESR 52.8 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 60 https://www.mozilla.org/en-US/security/advisories/mfsa2018-11/ Mozilla Security vulnerabilities fixed in Firefox ESR 52.8 https://www.mozilla.org/en-US/security/advisories/mfsa2018-12/ 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2018/05/10/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が、 権限を昇格したり、任意のコードを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 66.0.3359.170 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2018/05/stable-channel-update-for-desktop.html 【5】複数の Pivotal Software 製品に脆弱性 情報源 Pivotal Software Spring Framework 4.3.17 and 5.0.6 available now https://spring.io/blog/2018/05/08/spring-framework-4-3-17-and-5-0-6-available-now Pivotal Software Spring Project Vulnerability Reports Published https://spring.io/blog/2018/05/09/spring-project-vulnerability-reports-published 概要 複数の Pivotal Software 製品には、脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Spring Framework 5.0 から 5.0.5 まで - Spring Framework 4.3 から 4.3.16 まで - Spring Security 5.0.5 より前のバージョン - Spring Data Commons 2.0 から 2.0.6 (Kay SR6) まで - Spring Data Commons 1.13 から 1.13.11 (Ingalls SR11) まで - Spring Data REST 3.0 から 3.0.6 (Kay SR6) まで - Spring Data REST 2.6 から 2.6.11 (Ingalls SR11) まで - Spring Security OAuth 2.3 から 2.3.2 まで - Spring Security OAuth 2.2 から 2.2.1 まで - Spring Security OAuth 2.1 から 2.1.1 まで - Spring Security OAuth 2.0 から 2.0.14 まで - Spring Integration Zip Community Extension Project version 1.0.0 なお、Spring Framework および Spring Security OAuth については、すでに サポートが終了している過去のバージョンにおいても本脆弱性の影響を受ける とのことです。 この問題は、該当の製品を Pivotal Software が提供する修正済みのバージョン に更新することで解決します。詳細は、Pivotal Software が提供する情報を 参照してください。 関連文書 (英語) Pivotal Software CVE-2018-1257: ReDoS Attack with spring-messaging https://pivotal.io/security/cve-2018-1257 Pivotal Software CVE-2018-1258: Unauthorized Access with Spring Security Method Security https://pivotal.io/security/cve-2018-1258 Pivotal Software CVE-2018-1259: XXE with Spring Data’s XMLBeam integration https://pivotal.io/security/cve-2018-1259 Pivotal Software CVE-2018-1260: Remote Code Execution with spring-security-oauth2 https://pivotal.io/security/cve-2018-1260 Pivotal Software CVE-2018-1261: Unsafe Unzip with spring-integration-zip https://pivotal.io/security/cve-2018-1261 【6】Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題 情報源 CERT/CC Vulnerability Note VU#631579 Hardware debug exception documentation may result in unexpected behavior https://www.kb.cert.org/vuls/id/631579 US-CERT Current Activity Debug Exception May Cause Unexpected Behavior https://www.us-cert.gov/ncas/current-activity/2018/05/08/Debug-Exception-May-Cause-Unexpected-Behavior 概要 複数のオペレーティングシステムやハイパーバイザには、Intel ハードウェア アーキテクチャにおけるデバッグ例外の処理に問題があります。結果として、 認証された第三者が、メモリ上の機微な情報を取得したり、より高い特権レベ ルの操作を行ったりする可能性があります。 対象となる製品は次のとおりです。 - Intel ハードウェアアーキテクチャで動作するオペレーティングシステムやハイパーバイザなど 使用している各オペレーティングシステムやハイパーバイザのベンダや配布元 などの情報を確認し、対策の施されたバージョンが公開されている場合、速や かに適用することをおすすめします。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98401336 Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない問題 https://jvn.jp/vu/JVNVU98401336/ 関連文書 (英語) Intel Intel 64 and IA-32 Architectures Software Developer Manuals https://software.intel.com/en-us/articles/intel-sdm 【7】統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃 情報源 CERT/CC Vulnerability Note VU#283803 Integrated GPUs may allow side-channel and rowhammer attacks using WebGL ("Glitch") https://www.kb.cert.org/vuls/id/283803 Japan Vulnerability Notes JVNVU#92147586 統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃 https://jvn.jp/vu/JVNVU92147586/ 概要 スマートフォンなどの GPU が統合されたプラットフォームを利用する機器は、 GLitch と呼ばれる攻撃を実行される可能性があります。結果として、遠隔の 第三者が、当該機器を使用するユーザを悪意のあるサイトへアクセスさせ、ブ ラウザが提供するセキュリティ機能をバイパスさせる可能性があります。 対象となる製品は次のとおりです。 - スマートフォンを含む GPU が統合されたプラットフォームを利用する機器 使用しているブラウザの開発者や配布元などの情報から、対策の施されたバー ジョンが公開されているか確認することをおすすめします。 関連文書 (英語) VUSec What is GLitch? https://www.vusec.net/projects/glitch/ 【8】WordPress 用プラグイン Ultimate Member に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#28804532 WordPress 用プラグイン Ultimate Member における複数の脆弱性 https://jvn.jp/jp/JVN28804532/ 概要 WordPress 用プラグイン Ultimate Member には、複数の脆弱性があります。 結果として、遠隔の第三者が、サーバ内の任意のファイルを削除するなどの可 能性があります。 対象となるバージョンは次のとおりです。 - Ultimate Member 2.0.4 より前のバージョン この問題は、Ultimate Member を開発者が提供する修正済みのバージョンに更 新することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Ultimate Member Changelog https://wordpress.org/plugins/ultimate-member/#developers 【9】Android アプリ「IIJ SmartKey」に認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#27137002 Android アプリ「IIJ SmartKey」における認証不備の脆弱性 https://jvn.jp/jp/JVN27137002/ 概要 Android アプリ「IIJ SmartKey」には、認証不備の脆弱性があります。結果と して、第三者が、当該製品のパスコード認証を回避し、ワンタイムパスワード を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「IIJ SmartKey」バージョン 2.1.0 およびそれ以前 この問題は、IIJ SmartKey を株式会社インターネットイニシアティブが提供 する修正済みのバージョンに更新することで解決します。また、次の回避策を 適用することで、本脆弱性の影響を軽減することが可能です。 - Android OS 標準の画面ロック機能を利用する 詳細は、株式会社インターネットイニシアティブが提供する情報を参照してく ださい。 関連文書 (日本語) 株式会社インターネットイニシアティブ IIJ SmartKey https://play.google.com/store/apps/details?id=jp.ad.iij.smartkey2 Japan Vulnerability Notes 株式会社インターネットイニシアティブからの情報 https://jvn.jp/jp/JVN27137002/317632/index.html 【10】スマートフォンアプリ「キネパス」に SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#83671755 スマートフォンアプリ「キネパス」における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN83671755/ 概要 スマートフォンアプリ「キネパス」には、SSL サーバ証明書の検証不備の脆弱 性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信の 盗聴などが行われる可能性があります。 対象となる製品とバージョンは次のとおりです。 - Androidアプリ「キネパス」 Ver 3.1.1 およびそれ以前 - iOSアプリ「キネパス」 Ver 3.1.2 およびそれ以前 この問題は、キネパスを株式会社ティ・ジョイが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社ティ・ジョイが提供する情報 を参照してください。 関連文書 (日本語) 株式会社ティ・ジョイ キネパス アプリでカンタン便利な映画チケット予約 https://play.google.com/store/apps/details?id=jp.tjoy.kinepass 株式会社ティ・ジョイ キネパス アプリでカンタン便利な映画チケット予約 https://itunes.apple.com/jp/app/kinepasu-apuridekantan-bian/id637453055 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JNSA が「CISO ハンドブック」を公開 2018年5月11日、日本ネットワークセキュリティ協会 (JNSA) は、「CISO ハン ドブック」を公開しました。このハンドブックは、CISO (Chief Information Security Officer) が経営陣の一員としてセキュリティ業務を執行する上で使 用できるものであり、ビジネスの基本的な枠組みを整理し、明確にすべき目標 と指標、そして施策を評価する判断基準を提供することを目的としています。 また、CISO が情報セキュリティに関する状況を適切に経営会議で報告できる よう、報告内容や報告イメージをまとめたものが、CISO ダッシュボードとし て提供されています。 参考文献 (日本語) 日本ネットワークセキュリティ協会 (JNSA) CISO ハンドブック http://www.jnsa.org/result/2018/act_ciso/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJa+3a7AAoJEDF9l6Rp7OBIfCQH/iMpMkJtap6nAOESTez6ia0M ZMhVW4CAJ9N9LlpsQaciIfRiNctDh97Nn3iTvSeyKhPJkijtTVOtKtT6suNybCtp +SY2OJFxIlnC7H/8Xr5h7epBbM2j3JPM1A4FKiWg0A3kLlGT6ptAwFf5b9AaYDt1 Au1BKRF2Pbteod4l2dfwCZBiYzuIiwmnor5BfcCHGm2tMiY752J6IQh12cq9g0GP A0ISWza7TNl7HoAvPsTKwXC0yz53EnfF9HuabeLZ3P1Ufsgu8Jd74DujtBxBsskv Mk3maIdJ85e9yYukf38uox1tZgdU7yi0YvVdPE+OBqQL5CFkHU9+ubrqDW2ccqg= =Xzhe -----END PGP SIGNATURE-----