-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2018-4801
                                                                   JPCERT/CC
                                                                  2018-12-12

            <<< JPCERT/CC WEEKLY REPORT 2018-12-12 >>>

――――――――――――――――――――――――――――――――――――――
■12/02(日)〜12/08(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Flash Player および Adobe Flash Player インストーラに脆弱性
【2】複数の Apple 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】PHP に複数の脆弱性
【5】オムロン製 CX-One に複数の脆弱性
【6】セイコーエプソン製のプリンタおよびスキャナに複数の脆弱性
【7】i-FILTER に複数の脆弱性
【今週のひとくちメモ】「Hardening II SecurEach」に関するブログを公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2018/wr184801.html
        https://www.jpcert.or.jp/wr/2018/wr184801.xml
============================================================================


【1】Adobe Flash Player および Adobe Flash Player インストーラに脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/12/06/Adobe-Releases-Security-Updates

    概要
      Adobe Flash Player および Adobe Flash Player インストーラには、脆弱性
      があります。結果として、遠隔の第三者が任意のコードを実行したり、第三者
      が権限昇格を行ったりする可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Adobe Flash Player デスクトップランタイム 31.0.0.153 およびそれ以前 (Windows 版、macOS 版および Linux 版)
      - Google Chrome 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 版、macOS 版、Linux 版および Chrome OS 版)
      - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 10 版および Windows 8.1 版)
      - Adobe Flash Player インストーラ 31.0.0.108 およびそれ以前 (Windows 版)

      この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
      するか、最新のインストーラを使用することで解決します。詳細は、Adobe が
      提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC Alert 2018-12-06
      Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180048.html

      Japan Vulnerability Notes JVNVU#99727863
      Adobe Flash Player および Flash Player Installer に脆弱性
      https://jvn.jp/vu/JVNVU99727863/

      Adobe
      Flash Player に関するセキュリティアップデート公開 | APSB18-42
      https://helpx.adobe.com/jp/security/products/flash-player/apsb18-42.html

【2】複数の Apple 製品に脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Multiple Security Updates
      https://www.us-cert.gov/ncas/current-activity/2018/12/05/Apple-Releases-Multiple-Security-Updates

      Japan Vulnerability Notes JVNVU#92431031
      複数の Apple 製品における脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU92431031/

    概要
      複数の Apple 製品には、脆弱性があります。結果として、第三者が、任意の
      コードを実行したり、権限昇格を行ったりするなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - iOS 12.1.1 より前のバージョン
      - macOS Mojave 10.14.2 より前のバージョン
      - macOS High Sierra (Security Update 2018-003 未適用)
      - macOS Sierra (Security Update 2018-006 未適用)
      - tvOS 12.1.1 より前のバージョン
      - Safari 12.0.2 より前のバージョン
      - iTunes 12.9.2 for Windows より前のバージョン
      - iCloud for Windows 7.9 より前のバージョン
      - watchOS 5.1.2 より前のバージョン

      この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Apple が提供する情報を参照してください。

    関連文書 (英語)
      Apple
      About the security content of iOS 12.1.1
      https://support.apple.com/en-us/HT209340

      Apple
      About the security content of macOS Mojave 10.14.2, Security Update 2018-003 High Sierra, Security Update 2018-006 Sierra
      https://support.apple.com/en-us/HT209341

      Apple
      About the security content of tvOS 12.1.1
      https://support.apple.com/en-us/HT209342

      Apple
      About the security content of Safari 12.0.2
      https://support.apple.com/en-us/HT209344

      Apple
      About the security content of iTunes 12.9.2 for Windows
      https://support.apple.com/en-us/HT209345

      Apple
      About the security content of iCloud for Windows 7.9
      https://support.apple.com/en-us/HT209346

      Apple
      About the security content of watchOS 5.1.2
      https://support.apple.com/en-us/HT209343

【3】Google Chrome に複数の脆弱性

    情報源
      US-CERT Current Activity
      Google Releases Security Updates for Chrome
      https://www.us-cert.gov/ncas/current-activity/2018/12/04/Google-Releases-Security-Updates-Chrome

    概要
      Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
      任意のコードを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 71.0.3578.80 より前のバージョン

      この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
      新することで解決します。詳細は、Google が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.html

【4】PHP に複数の脆弱性

    情報源
      The PHP Group
      PHP 7.2.13 Released
      https://secure.php.net/archive/2018.php#id2018-12-06-3

      The PHP Group
      PHP 7.1.25 Released
      https://secure.php.net/archive/2018.php#id2018-12-06-4

      The PHP Group
      PHP 7.0.33 Released
      https://secure.php.net/archive/2018.php#id2018-12-06-5

      The PHP Group
      PHP 5.6.39 Released
      https://secure.php.net/archive/2018.php#id2018-12-06-2

    概要
      PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実
      行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - PHP 7.2.13 より前のバージョン
      - PHP 7.1.25 より前のバージョン
      - PHP 7.0.33 より前のバージョン
      - PHP 5.6.39 より前のバージョン

      この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
      さい。

    関連文書 (英語)
      The PHP Group
      PHP 7 ChangeLog Version 7.2.13
      http://www.php.net/ChangeLog-7.php#7.2.13

      The PHP Group
      PHP 7 ChangeLog Version 7.1.25
      http://www.php.net/ChangeLog-7.php#7.1.25

      The PHP Group
      PHP 7 ChangeLog Version 7.0.33
      http://www.php.net/ChangeLog-7.php#7.0.33

      The PHP Group
      PHP 5 ChangeLog Version 5.6.39
      http://www.php.net/ChangeLog-5.php#5.6.39

      Center for Internet Security
      Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
      https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-136/

【5】オムロン製 CX-One に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#90473043
      オムロン製 CX-One に複数の脆弱性
      https://jvn.jp/vu/JVNVU90473043/

    概要
      オムロン株式会社が提供する CX-One には、複数の脆弱性があります。結果と
      して、第三者が、細工したプロジェクトファイルを処理させることで、任意の
      コードを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - 次のアプリケーションを含む CX-One Version 4.42 およびそれ以前
       - CX-Programmer Version 9.66 およびそれ以前
       - CX-Server Version 5.0.23 およびそれ以前

      この問題は、CX-One をオムロン株式会社が提供する修正済みのバージョンに
      更新することで解決します。詳細は、オムロン株式会社が提供する情報を参照
      してください。

    関連文書 (日本語)
      オムロン株式会社
      CX-One バージョンアップ プログラム ダウンロード
      https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

      オムロン株式会社
      CX-Programmer の更新内容 ｜ Ver.9.70 : CX-Oneオートアップデート（V4向け_2018年12月）
      https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer

      オムロン株式会社
      共通モジュール の更新内容 |―：CX-Oneオートアップデート（V4向け_2018年12月）
      https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module

【6】セイコーエプソン製のプリンタおよびスキャナに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#89767228
      セイコーエプソン製の複数のプリンタおよびスキャナにおける複数の脆弱性
      https://jvn.jp/jp/JVN89767228/

    概要
      セイコーエプソン株式会社が提供する複数のプリンタおよびスキャナには、複
      数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で、
      偽の情報を表示させたり、任意のスクリプトを実行したりするなどの可能性が
      あります。

      対象となる製品およびバージョンについては、セイコーエプソン株式会社が提
      供する情報を参照してください。

      この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みの
      バージョンに更新することで解決します。詳細は、セイコーエプソン株式会社
      が提供する情報を参照してください。

    関連文書 (日本語)
      セイコーエプソン株式会社
      プリンターおよびスキャナーのWeb Configにおける脆弱性について
      https://www.epson.jp/support/misc/20181203_oshirase.htm

【7】i-FILTER に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#32155106
      i-FILTER における複数の脆弱性
      https://jvn.jp/jp/JVN32155106/

    概要
      デジタルアーツ株式会社が提供する i-FILTER には、複数の脆弱性があります。
      結果として、遠隔の第三者が、当該製品を使用しているユーザのブラウザ上で、
      任意のスクリプトを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - i-FILTER Ver.9.50R05 およびそれ以前

      この問題は、i-FILTER をデジタルアーツ株式会社が提供する修正済みのバー
      ジョンに更新することで解決します。詳細は、デジタルアーツ株式会社が提供
      する情報を参照してください。

    関連文書 (日本語)
      デジタルアーツ株式会社
      サポート情報サイト
      https://download.daj.co.jp/user/ifilter/V9/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「Hardening II SecurEach」に関するブログを公開

      2018年12月6日(木)、「Hardening II SecurEach」に関するブログを公開しま
      した。本ブログでは、11月21日から 22日までの 2日間、沖縄県宮古島市にあ
      る JTAドーム宮古島で行われた Hardening II SecurEach の競技内容を紹介し
      ています。また、本イベントに参加した JPCERT/CC 早期警戒グループのメン
      バーの競技内における役割も紹介しています。

    参考文献 (日本語)
      JPCERT/CC Eyes
      Hardening II SecurEachに参加しました
      https://blogs.jpcert.or.jp/ja/2018/12/hardening-ii-secureach.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJcEFXvAAoJEDF9l6Rp7OBIRQ0IAJYQLZIk96wIPrVD7FswqOON
MXwUGIAkCV0j5iJPDoQiGSp0PMXWLmq/niOoZR4A2jea80ifhtxk5+YrMXMSKScR
8hngMmOOICXUac10gFfaIiOUbqJ2jCbhVTl87Wm/pWe4K607FBH+Kewr/qa27Tlo
VR9WOViri8BZbpzn8x4NsjKJji4ELUewF1ixR9FmKHcmm9oud9j/ppRPk5c64bHT
umEH08398bruP9oWNFkyHi9+Gk3nT/STIgljsJ85hwayW/n/rbGKWU5ljpsdMoxP
kL/H+KN147fIPv7bopNupwNk1u8zJBccghzVWCPs+bf2zyL5G2EfSxtLvlM7hlc=
=vLu1
-----END PGP SIGNATURE-----