-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-2301 JPCERT/CC 2019-06-19 <<< JPCERT/CC WEEKLY REPORT 2019-06-19 >>> ―――――――――――――――――――――――――――――――――――――― ■06/09(日)〜06/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Mozilla 製品に脆弱性 【4】複数の Intel 製品に脆弱性 【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性 【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性 【7】Exim に検証不備の脆弱性 【8】Apple iCloud for Windows に複数の脆弱性 【9】複数の WordPress 用プラグインに脆弱性 【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性 【今週のひとくちメモ】NICT がマルウエアに感染している IoT 機器の利用者に対する注意喚起を実施 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr192301.html https://www.jpcert.or.jp/wr/2019/wr192301.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases June 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/06/11/Microsoft-Releases-June-2019-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - Skype for Business および Microsoft Lync - Microsoft Exchange Server - Azure この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 6 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/253dc509-9a5b-e911-a98e-000d3a33c573 JPCERT/CC 注意喚起 2019年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190026.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/06/11/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe ColdFusion 2018 Update 3 およびそれ以前 - Adobe ColdFusion 2016 Update 10 およびそれ以前 - Adobe ColdFusion 11 Update 18 およびそれ以前 - Adobe Campaign Classic (19.1.1-9026) より前 (Windows および Linux) - Adobe Flash Player Desktop Runtime (32.0.0.192) およびそれ以前 (Windows, macOS および Linux) - Adobe Flash Player for Google Chrome (32.0.0.192) およびそれ以前 (Windows, macOS, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.192) およびそれ以前 (Windows 10 および Windows 8.1) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe ColdFusion に関するセキュリティアップデート公開 | APSB19-27 https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-27.html Adobe Adobe Flash Player に関するセキュリティ速報 | APSB19-30 https://helpx.adobe.com/jp/security/products/flash-player/apsb19-30.html JPCERT/CC 注意喚起 Adobe Flash Player の脆弱性 (APSB19-30) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190025.html JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019061202.html 関連文書 (英語) Adobe Security Bulletin for Adobe Campaign | APSB19-28 https://helpx.adobe.com/security/products/campaign/apsb19-28.html 【3】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-Thunderbird Mozilla Security vulnerabilities fixed in Firefox 67.0.2 https://www.mozilla.org/en-US/security/advisories/mfsa2019-16/ 概要 複数の Mozilla 製品には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 67.0.2 より前のバージョン (Windows) - Thunderbird 60.7.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Thunderbird 60.7.1 https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/ 【4】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates, Mitigations for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/06/11/Intel-Releases-Security-Updates-Mitigations-Multiple-Products 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が あります。 対象となる製品およびバージョンは、多岐に渡ります。詳細は、Intel が提供 するアドバイザリ情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95572531 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU95572531/ JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2019061201.html 関連文書 (英語) Intel INTEL-SA-00206 ITE Tech Consumer Infrared Driver for Windows 10 Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00206.html Intel INTEL-SA-00224 Intel Chipset Device Software (INF Update Utility) Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00224.html Intel INTEL-SA-00226 Intel Accelerated Storage Manager in Intel Rapid Storage Technology Enterprise Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00226.html Intel INTEL-SA-00232 Intel PROSet/Wireless WiFi Software Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00232.html Intel INTEL-SA-00235 Intel SGX for Linux Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00235.html Intel INTEL-SA-00243 Intel Turbo Boost Max Technology 3.0 Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00243.html Intel INTEL-SA-00247 Partial Physical Address Leakage Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00247.html Intel INTEL-SA-00248 Open Cloud Integrity Technology and OpenAttestation Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00248.html Intel INTEL-SA-00257 Intel Omni-Path Fabric Manager GUI Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00257.html Intel INTEL-SA-00259 Intel RAID Web Console 3 for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00259.html Intel INTEL-SA-00264 Intel NUC Firmware Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00264.html 【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/06/13/Google-Releases-Security-Updates-Chrome 概要 Google Chrome には、Blink における解放済みメモリ使用の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 75.0.3770.90 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop_13.html 【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update for Cisco IOS XE https://www.us-cert.gov/ncas/current-activity/2019/06/12/Cisco-Releases-Security-Update-Cisco-IOS-XE 概要 Cisco IOS XE Software には、クロスサイトリクエストフォージェリの脆弱性 があります。結果として、遠隔の第三者が、細工したページにユーザをアクセ スさせることにより、当該製品にログインしているユーザの権限で任意の操作 を行う可能性があります。 対象となる製品は次のとおりです。 - Cisco IOS XE Software この問題は、Cisco IOS XE Software を、Cisco が提供する修正済みのバージョン に更新することで解決します。詳細は、Cisco が提供する情報を参照してくだ さい。 関連文書 (英語) Cisco Security Advisory Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf 【7】Exim に検証不備の脆弱性 情報源 US-CERT Current Activity Exim Releases Security Patches https://www.us-cert.gov/ncas/current-activity/2019/06/13/Exim-Releases-Security-Patches 概要 Exim には、検証不備の脆弱性があります。結果として、遠隔の第三者が任意 のコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Exim 4.87 から 4.91 までのバージョン この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) Exim CVE-2019-10149 Exim 4.87 to 4.91 https://www.exim.org/static/doc/security/CVE-2019-10149.txt 【8】Apple iCloud for Windows に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95342995 Apple iCloud for Windows における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95342995/ 概要 Apple の iCloud for Windows には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコード実行をしたり、権限昇格をしたりするなどの可 能性があります。 対象となるバージョンは次のとおりです。 - iCloud for Windows 10.4 より前のバージョン この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ さい。 関連文書 (英語) Apple About the security content of iCloud for Windows 10.4 https://support.apple.com/en-us/HT210212 【9】複数の WordPress 用プラグインに脆弱性 情報源 Japan Vulnerability Notes JVN#80925867 WordPress 用プラグイン Contest Gallery におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN80925867/ Japan Vulnerability Notes JVN#96988995 WordPress 用プラグイン Online Lesson Booking における複数の脆弱性 https://jvn.jp/jp/JVN96988995/ Japan Vulnerability Notes JVN#95685939 WordPress 用プラグイン Attendance Manager における複数の脆弱性 https://jvn.jp/jp/JVN95685939/ 概要 複数の WordPress 用プラグインには、脆弱性があります。結果として、遠隔 の第三者が、細工したページにユーザをアクセスさせることで任意の操作を行っ たり、管理者権限を持つユーザのウェブブラウザ上で、任意のスクリプトを実 行したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Contest Gallery 10.4.5 より前のバージョン - Online Lesson Booking 0.8.6 およびそれ以前のバージョン - Attendance Manager 0.5.6 およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) SUKIMALAB.COM OLB 0.8.7 Released [脆弱性の修正] https://olbsys.com/fixed-vulnerability-issue/ SUKIMALAB.COM Attendance Manager 0.5.7 Released [脆弱性の修正] http://attmgr.com/fixed-vulnerability-issue/ 関連文書 (英語) Contest Gallery Changelog https://wordpress.org/plugins/contest-gallery/#developers Online Lesson Booking Changelog https://wordpress.org/plugins/online-lesson-booking-system/#developers Attendance Manager Changelog https://wordpress.org/plugins/attendance-manager/#developers 【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#89046645 Minecraft サーバ向けプラグイン Dynmap におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN89046645/ 概要 Minecraft サーバ向けプラグイン Dynmap には、アクセス制限不備の脆弱性が あります。結果として、遠隔の第三者がログインなしには本来取得できない画 像を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Dynmap v3.0-beta-3 およびそれ以前 この問題は、Minecraft サーバ向けプラグイン Dynmap を開発者が提供する修 正済みのバージョンに更新することで解決します。詳細は、開発者が提供する 情報を参照してください。 関連文書 (英語) Webbukkit Dynmap https://github.com/webbukkit/dynmap ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NICT がマルウエアに感染している IoT 機器の利用者に対する注意喚起を実施 2019年6月14日、情報通信研究機構 (NICT) は、2019年2月より実施している 「NOTICE」の取り組みに加えて、マルウエアに感染していることが検知された 機器に対して、インターネットサービスプロバイダ (ISP) から利用者へ注意 喚起を行う取り組みを実施すると発表しました。 この取り組みは、「NICTER」プロジェクトから得られた情報を元にマルウエア が感染している IoT 機器の特定を行い ISP と連携して実施されます。 参考文献 (日本語) 情報通信研究機構 (NICT) マルウェアに感染しているIoT機器の利用者に対する注意喚起の実施 https://www.nict.go.jp/press/2019/06/14-1.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJdBvcoAAoJEDF9l6Rp7OBIFvsH/0dnl8oB6CLR15HeXImlKtQR VDJah1sGTNeDrst4MwdjqhSWSSX7byf2JJSv/fDc3N67NeemAZfLSOv6s5Otp0sA Ubhh6FMQHw/dM5klKs8Gb464TP5lwCH7gP6Ng50y666P+BnviaVJjx7dWNiNBHid MvXssexJkA3oi0OQ+VWWdfAFwQeYgvok7EXrW9JO2Yv/ZeoEq8lZq1g5fi4t8p9q cyFYyr7oYhrBXsMGQPkwBQqvEeSiXOdEI0DJco18mPzC75pbon5ue+fGyUiML9wl Fdg7kZ3JdE/pea5z3k60aotboNl7Gt+7GXfciCkJtG7dO1JTlUzHoentOcXcK0U= =Ic5T -----END PGP SIGNATURE-----