JPCERT-WR-2019-0501
2019-02-06
2019-01-27
2019-02-02
複数の Mozilla 製品に脆弱性
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 65 より前のバージョン
- Mozilla Firefox ESR 60.5 より前のバージョン
- Mozilla Thunderbird 60.5 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
Mozilla
Security vulnerabilities fixed in Firefox 65
https://www.mozilla.org/en-US/security/advisories/mfsa2019-01/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.5
https://www.mozilla.org/en-US/security/advisories/mfsa2019-02/
Mozilla
Security vulnerabilities fixed in Thunderbird 60.5
https://www.mozilla.org/en-US/security/advisories/mfsa2019-03/
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 72.0.3626.81 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html
Microsoft Exchange に NTLM 中継攻撃が可能な脆弱性
Microsoft Exchange には、NTLM 中継攻撃が可能な脆弱性があります。結果と
して、Exchange サーバおよび Windows ドメインコントローラに接続可能なユー
ザが、ドメインの管理者権限を取得するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Microsoft Exchange 2013 およびそれ以降
2019年2月5日現在、この問題に対する解決策は提供されていません。次の回避
策の実施を検討してください。
- EWS サブスクリプション機能を無効にする
- Microsoft Exchange がドメイン内のオブジェクトに対して持つ権限を削除する
詳細は、情報源を参照してください。
「フィッシング対策協議会 技術・制度検討 WG 報告会」開催のお知らせ
フィッシング対策協議会、技術・制度検討 WG では、3月13日(水) に「フィッ
シング対策協議会 技術・制度検討 WG 報告会」を開催いたします。本報告会
では、有識者や会員企業などが携わり、毎年改訂している「フィッシング対策
ガイドライン」の改定内容、および最新のフィッシングの状況や対策技術動向
などをレポートする「フィッシングレポート」について、フィッシング対策協
議会会員のみではなく、広く一般の方にも紹介いたします。
多数のお申込みをいただいており、まもなく満席となります。参加を希望され
る方はお早めにお申し込みください。
日時および場所:
2019年3月13日 (水) 14:00 - 17:00 (受付開始: 13:30)
山王パークタワー 26 階 会議室 BC
〒100-0014 東京都千代田区永田町2丁目11-1
https://office.mec.co.jp/search/detail/572/#tabs02
IPA が「情報セキュリティ10大脅威 2019」を発表
2019年1月30日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威
2019」の順位を発表しました。これは、IPA が昨年発生した情報セキュリティ
における事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものです。個人に対する脅威としては
「クレジットカード情報の不正利用」が、組織に対する脅威としては「標的型
攻撃による被害」がそれぞれ 1位に選ばれているほか、「メールやSNSを使っ
た脅迫・詐欺の手口による金銭要求」や「サプライチェーンの弱点を悪用した
攻撃の高まり」が新たに選出されています。なお、2月下旬に、これらの脅威
についての詳しい解説が公開予定とのことです。
情報処理推進機構 (IPA)
情報セキュリティ10大脅威 2019
https://www.ipa.go.jp/security/vuln/10threats2019.html