-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3701 JPCERT/CC 2018-09-27 <<< JPCERT/CC WEEKLY REPORT 2018-09-27 >>> ―――――――――――――――――――――――――――――――――――――― ■09/16(日)〜09/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Cisco Webex Network Recording Player に複数の脆弱性 【3】Adobe Acrobat および Reader に複数の脆弱性 【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題 【5】複数の Mozilla 製品に脆弱性 【今週のひとくちメモ】「フィッシング対策セミナー 2018」開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183701.html https://www.jpcert.or.jp/wr/2018/wr183701.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/17/Apple-Releases-Multiple-Security-Updates Japan Vulnerability Notes JVNVU#93341447 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU93341447/ 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apple Support 2.4 for iOS より前のバージョン - Safari 12 より前のバージョン - watchOS 5 より前のバージョン - tvOS 12 より前のバージョン - iOS 12 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of Apple Support 2.4 for iOS https://support.apple.com/en-us/HT209117 Apple About the security content of Safari 12 https://support.apple.com/en-us/HT209109 Apple About the security content of watchOS 5 https://support.apple.com/en-us/HT209108 Apple About the security content of tvOS 12 https://support.apple.com/en-us/HT209107 Apple About the security content of iOS 12 https://support.apple.com/en-us/HT209106 【2】Cisco Webex Network Recording Player に複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/19/Cisco-Releases-Security-Updates 概要 Cisco Webex Network Recording Player には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Webex Meetings Suite (WBS32) - Webex Network Recording Player WBS32.15.10 より前のバージョン - Cisco Webex Meetings Suite (WBS33) - Webex Network Recording Player WBS33.3 より前のバージョン - Cisco Webex Meetings Online - Webex Network Recording Player 1.3.37 より前のバージョン - Cisco Webex Meetings Server - Webex Network Recording Player 3.0MR2 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Webex Network Recording Player Remote Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180919-webex 【3】Adobe Acrobat および Reader に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/19/Adobe-Releases-Security-Updates 概要 Adobe Acrobat および Reader には、複数の脆弱性があります。結果として、 第三者が、任意のコードを実行したり、情報を窃取したりする可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat Reader DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2018-09-20 Adobe Reader および Acrobat の脆弱性 (APSB18-34) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180039.html 関連文書 (英語) Adobe Security bulletin for Adobe Acrobat and Reader | APSB18-34 https://helpx.adobe.com/security/products/acrobat/apsb18-34.html 【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題 情報源 US-CERT Current Activity ISC Releases Security Advisory for BIND https://www.us-cert.gov/ncas/current-activity/2018/09/19/ISC-Releases-Security-Advisory-BIND Japan Vulnerability Notes JVNVU#90728793 ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題 https://jvn.jp/vu/JVNVU90728793/ 概要 ISC BIND 9 のマニュアルには、Update policy 機能で提供されているルール krb5-subdomain および ms-subdomain の説明が、実際の挙動と異なっている 問題があります。結果として、マニュアルの説明では許可しないはずのアップ デートリクエストを受け付けてしまう可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.11.5 より前のバージョン - BIND 9.12.3 より前のバージョン 2018年9月26日現在、この問題を修正したバージョンは公開されておりません。 開発者によると、本件への対策を行ったバージョンを 2018年10月中にリリー ス予定とのことです。 また、次の回避策を適用することで、本問題の影響を回避することが可能です。 - 更新を許可する範囲を独立したゾーンとして設定する 詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741) https://jprs.jp/tech/security/2018-09-20-bind9-vuln-krb5-subdomain.html 関連文書 (英語) Internet Systems Consortium CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain https://kb.isc.org/docs/cve-2018-5741 【5】複数の Mozilla 製品に脆弱性 情報源 Mozilla Security vulnerabilities fixed in Firefox ESR 60.2.1 https://www.mozilla.org/en-US/security/advisories/mfsa2018-23/ Mozilla Security vulnerabilities fixed in Firefox 62.0.2 https://www.mozilla.org/en-US/security/advisories/mfsa2018-22/ 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 62.0.2 より前のバージョン - Mozilla Firefox ESR 60.2.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「フィッシング対策セミナー 2018」開催のお知らせ フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ シング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッ シング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策 組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご 紹介いたします。 参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、 受付終了とさせていただきますので、ご了承ください。 日時および場所: 2018年11月2日 (金) 13:00 - 18:00 (受付開始 12:15〜) 大崎ブライトコアホール (JR 大崎駅 新東口) 〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階 http://osaki-hall.jp/access/ 参考文献 (日本語) フィッシング対策協議会 フィッシング対策セミナー 2018 開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_seminar2018.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbrB5FAAoJEDF9l6Rp7OBIR1wH/RD8e06q10XOPlyvVbeMq8Eo IG2j6JZpFe50cr/oIEBsbz+B61S527dHxymU9XImAR5o0UvMMb02eJykHVZ/DGWv YNEtdF0L8eshnl5lbq7XcM9LfzHAlKti7emIiC1Q8TK7+Do6jDMZvqRW5IirM1wH SrzRqE5Ur+kYtanxdAdaXtC+uV6obt2QY/uvxH16OFV7WbkCSiQ3k64x/HA0hM0B 958wql8mNUvbaTwYQ3VzloaGNt5//21b/ZxNPE3Mp36ckWLIzWG8dnwFdBNT9fP5 6oW3EnSAhj9mileJUofRGgH2+gJfIUUxBwc7Aq92r2R2XN7E5XQ0LfBdIM97jQs= =p81w -----END PGP SIGNATURE-----