-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2018-4501
                                                                   JPCERT/CC
                                                                  2018-11-21

            <<< JPCERT/CC WEEKLY REPORT 2018-11-21 >>>

――――――――――――――――――――――――――――――――――――――
■11/11(日)〜11/17(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数のサイボウズ製品に脆弱性
【4】Android アプリ「みずほ銀行　みずほダイレクトアプリ」に SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】IPA が「中小規模向けIoT品質確認チェックリスト」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2018/wr184501.html
        https://www.jpcert.or.jp/wr/2018/wr184501.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases November 2018 Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/11/13/Microsoft-Releases-November-2018-Security-Updates

    概要
      複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
      が任意のコードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Internet Explorer
      - Microsoft Edge
      - Microsoft Windows
      - Microsoft Office、Microsoft Office Services および Web Apps
      - ChakraCore
      - .NET Core
      - Skype for Business
      - Azure App Service on Azure Stack
      - Team Foundation Server
      - Microsoft Dynamics 365 (on-premises) version 8
      - PowerShell Core
      - Microsoft.PowerShell.Archive 1.2.2.0

      この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
      とで解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2018 年 11 月のセキュリティ更新プログラム
      https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/ff746aa5-06a0-e811-a978-000d3a33c573

      JPCERT/CC Alert 2018-11-14
      2018年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180046.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/11/13/Adobe-Releases-Security-Updates

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が情
      報を窃取する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Adobe Flash Player Desktop Runtime (31.0.0.122) およびそれ以前 (Windows, macOS および Linux)
      - Adobe Flash Player for Google Chrome (31.0.0.122) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
      - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (31.0.0.122) およびそれ以前 (Windows 10 および Windows 8.1)
      - Adobe Acrobat Reader DC Continuous (2019.008.20080) およびそれ以前 (Windows)
      - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30105) およびそれ以前 (Windows)
      - Adobe Acrobat Reader DC Classic 2015 (2015.006.30456) およびそれ以前 (Windows)
      - Adobe Acrobat DC Continuous (2019.008.20080) およびそれ以前 (Windows)
      - Adobe Acrobat 2017 Classic 2017 (2017.011.30105) およびそれ以前 (Windows)
      - Adobe Acrobat DC Classic 2015 (2015.006.30456) およびそれ以前 (Windows)
      - Adobe Photoshop CC 19.1.6 およびそれ以前 (Windows および macOS)

      この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe
      Flash Player に関するセキュリティアップデート公開 | APSB18-39
      https://helpx.adobe.com/jp/security/products/flash-player/apsb18-39.html

      Adobe
       Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB18-40
      https://helpx.adobe.com/jp/security/products/acrobat/apsb18-40.html

      Adobe
       Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB18-43
      https://helpx.adobe.com/jp/security/products/photoshop/apsb18-43.html

      JPCERT/CC Alert 2018-11-14
      Adobe Flash Player の脆弱性 (APSB18-39) に関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180044.html

      JPCERT/CC Alert 2018-11-14
      Adobe Acrobat および Reader の脆弱性 (APSB18-40) に関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180045.html

      JPCERT/CC CyberNewsFlash
      Adobe Photoshop CC のセキュリティアップデート (APSB18-43) について
      https://www.jpcert.or.jp/newsflash/2018111401.html

【3】複数のサイボウズ製品に脆弱性

    情報源
      Japan Vulnerability Notes JVN#83739174
      サイボウズ メールワイズにおけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN83739174/

      Japan Vulnerability Notes JVN#15232217
      サイボウズ Office における複数のディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN15232217/

      Japan Vulnerability Notes JVN#16697622
      サイボウズ デヂエにおけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN16697622

    概要
      複数のサイボウズ製品には、ディレクトリトラバーサルの脆弱性があります。
      結果として、遠隔の第三者がサーバ上の任意のファイルを削除する可能性があ
      ります。

      対象となる製品およびバージョンは次のとおりです。

      - サイボウズ メールワイズ 5.0.0 から 5.4.5 まで
      - サイボウズ Office 10.0.0 から 10.8.1 まで
      - サイボウズ デヂエ 8.0.2 から 8.1.2 まで

      この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
      に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
      参照してください。

    関連文書 (日本語)
      サイボウズ株式会社
      サイボウズ メールワイズ 脆弱性に関するお知らせ
      https://cs.cybozu.co.jp/2018/006755.html

      サイボウズ株式会社
      サイボウズ Office 10 脆弱性に関するお知らせ
      https://cs.cybozu.co.jp/2018/006683.html

      サイボウズ株式会社
      サイボウズ デヂエ 脆弱性に関するお知らせ
      https://cs.cybozu.co.jp/2018/006698.html

【4】Android アプリ「みずほ銀行　みずほダイレクトアプリ」に SSL サーバ証明書の検証不備の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#91640357
      Android アプリ「みずほ銀行　みずほダイレクトアプリ」における SSL サーバ証明書の検証不備の脆弱性
      https://jvn.jp/vu/JVNVU91640357/

    概要
      Android アプリ「みずほ銀行　みずほダイレクトアプリ」には、SSL サーバ証
      明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃
      によって、通信内容を盗聴したり、改ざんしたりする可能性があります。

      対象となるバージョンは次のとおりです。

      -Android アプリ「みずほ銀行　みずほダイレクトアプリ」バージョン 3.13.0 およびそれ以前

      株式会社みずほ銀行によると、iOS 版アプリは本脆弱性の影響を受けないとの
      ことです。

      この問題は、Android アプリ「みずほ銀行　みずほダイレクトアプリ」を株式
      会社みずほ銀行が提供する修正済みのバージョンに更新することで解決します。
      詳細は、株式会社みずほ銀行が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社みずほ銀行
      みずほ銀行　みずほダイレクトアプリ
      https://play.google.com/store/apps/details?id=jp.co.mizuhobank.banking


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「中小規模向けIoT品質確認チェックリスト」を公開

      IPAは、2018年11月13日に、「中小規模向けIoT品質確認チェックリスト」を
      公開しました。このチェックリストは、既に公開されている「つながる世界の
      品質確保チェックリスト」から、中小規模の IoT 製品・システムにおける品
      質確認のポイントを分かりやすくまとめたものです。

      ＜利用対象＞
      - IoT機器・システム・サービスの開発に初めて取り組む主に中小企業の方
      - IoT機器・システムを初めて導入する主に中小のユーザー企業の方
      - 上記企業に対して、開発や品質に関するコンサルティングを行う方

      詳細は、IPA が提供する情報を参照してください。

    参考文献 (日本語)
      情報処理推進機構(IPA)
      「中小規模向けIoT品質確認チェックリスト」を公開
      https://www.ipa.go.jp/ikc/reports/20181113.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJb9KDhAAoJEDF9l6Rp7OBIqdoH/2+MV74xqtZL31797Y9YXLY0
POE30Kp4FSj2dHxuNG4LPSwll9bsWaZPpyLn6QOXnpWrXSbuO+ZQzsYb0R5LhQiE
XD6xBgzy+WFrH7GYTW3lNFYjqTox0omEsJSmzrbElashtkgdvuiCfAvRH/XiWuqo
+uHpi98NfRnwfxX6XVK9hWex2t0cDAWfZ5B8eTWH/IdyiAjbj69HjmzNsIvktUPx
U6+hZdVS66EAcXgxrP57LRPdSKQ4XgW6C4KJeltSTZHu9g0hE0O57gRnm9m3G1qt
S3JRGhEhtQde9fON7oScawmmB4cvOy9cw1PoQyVpYsFZroKVKVPUTEaFJlkAXd0=
=Ztir
-----END PGP SIGNATURE-----