複数の Microsoft 製品に脆弱性

JPCERT-WR-2019-3201 2019-08-21 2019-08-11 2019-08-17

複数の Microsoft 製品に脆弱性 US-CERT Current Activity Microsoft Releases August 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/08/13/microsoft-releases-august-2019-security-updates

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - ChakraCore - Microsoft Office および Microsoft Office Services および Web Apps - Visual Studio - Online Services - Active Directory - Microsoft Dynamics この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

マイクロソフト株式会社 2019 年 8 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d JPCERT/CC 2019年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190032.html US-CERT Current Activity Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2019/08/14/microsoft-releases-security-updates-address-remote-code-execution US-CERT Current Activity Microsoft Releases Security Update for Windows Elevation of Privilege Vulnerability https://www.us-cert.gov/ncas/current-activity/2019/08/15/microsoft-releases-security-update-windows-elevation-privilege

複数の Adobe 製品に脆弱性 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/08/13/adobe-releases-security-updates-multiple-products

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、任意のコードを実行したりするなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2019.012.20034) およびそれ以前 (macOS) - Adobe Acrobat Reader DC Continuous (2019.012.20035) およびそれ以前 (Windows) - Adobe Acrobat Reader DC Classic 2017 (2017.011.30142) およびそれ以前 (macOS) - Adobe Acrobat Reader DC Classic 2017 (2017.011.30143) およびそれ以前 (Windows) - Adobe Acrobat Reader DC Classic 2015 (2015.006.30497) およびそれ以前 (macOS) - Adobe Acrobat Reader DC Classic 2015 (2015.006.30498) およびそれ以前 (Windows) - Adobe Acrobat DC Continuous (2019.012.20034) およびそれ以前 (macOS) - Adobe Acrobat DC Continuous (2019.012.20035) およびそれ以前 (Windows) - Adobe Acrobat DC Classic 2017 (2017.011.30142) およびそれ以前 (macOS) - Adobe Acrobat DC Classic 2017 (2017.011.30143) およびそれ以前 (Windows) - Adobe Acrobat DC Classic 2015 (2015.006.30497) およびそれ以前 (macOS) - Adobe Acrobat DC Classic 2015 (2015.006.30498) およびそれ以前 (Windows) - Adobe After Effects CC 2019 16 およびそれ以前 (Windows) - Adobe Character Animator CC 2019 2.1 およびそれ以前 (Windows) - Adobe Premiere Pro CC 2019 13.1.2 およびそれ以前 (Windows) - Adobe Prelude CC 2019 8.1 およびそれ以前 (Windows) - Adobe Creative Cloud Desktop Application 4.6.1 およびそれ以前 (Windows, macOS) - Adobe Experience Manager 6.5, 6.4 - Adobe Photoshop CC 19.1.8 およびそれ以前 (Windows, macOS) - Adobe Photoshop CC 20.0.5 およびそれ以前 (Windows, macOS) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

JPCERT/CC Adobe Acrobat および Reader の脆弱性 (APSB19-41) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190031.html JPCERT/CC 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019081402.html Adobe Adobe After Effects に関するセキュリティアップデート公開 | APSB19-31 https://helpx.adobe.com/jp/security/products/after_effects/apsb19-31.html Adobe Adobe Character Animator に関するセキュリティアップデート公開 | APSB19-32 https://helpx.adobe.com/jp/security/products/character_animator/apsb19-32.html Adobe Adobe Premiere Pro CC に関するセキュリティアップデート公開 | APSB19-33 https://helpx.adobe.com/jp/security/products/premiere_pro/apsb19-33.html Adobe Adobe Prelude CC に関するセキュリティアップデート公開 | APSB19-35 https://helpx.adobe.com/jp/security/products/prelude/apsb19-35.html Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB19-39 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb19-39.html Adobe Adobe Acrobat および Reader に関するセキュリティ速報 | APSB19-41 https://helpx.adobe.com/jp/security/products/acrobat/apsb19-41.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-42 https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-42.html Adobe Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-44 https://helpx.adobe.com/jp/security/products/photoshop/apsb19-44.html

複数の Intel 製品に脆弱性 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/08/13/intel-releases-security-updates

複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性があります。対象となる製品は次のとおりです。 - Intel RAID Web Console 2 - Intel NUC Kit NUC7i7DNx - Intel NUC Kit NUC7i5DNx - Intel NUC Kit NUC7i3DNx - Intel Compute Stick STK2MV64CC - Intel Compute Card CD1IV128MK - Intel Authenticate - Intel Driver & Support Assistant - Intel Remote Displays SDK - Intel Processor Identification Utility for Windows - Intel Computing Improvement Program ※ 影響を受けるバージョンは多岐に渡ります。対象の詳細は、Intel が提供する情報を参照してください。この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新することで解決します。詳細は、Intel が提供する情報を参照してください。なお、Intel RAID Web Console 2 は開発が終了しており、後継製品である Intel RAID Web Console 3 のインストールが推奨されています。

Intel INTEL-SA-00246: Intel RAID Web Console 2 Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00246.html Intel INTEL-SA-00272: Intel NUC Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00272.html Intel INTEL-SA-00275: Intel Authenticate Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00275.html Intel INTEL-SA-00276: Intel Driver & Support Assistant Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00276.html Intel INTEL-SA-00277: Intel Remote Displays SDK Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00277.html Intel INTEL-SA-00281: Intel Processor Identification Utility for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00281.html Intel INTEL-SA-00283: Intel Computing Improvement Program Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00283.html Japan Vulnerability Notes JVNVU#99945432 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU99945432/ JPCERT/CC Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2019081401.html

HTTP/2 の実装に複数の問題 US-CERT Current Activity Multiple HTTP/2 Implementation Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2019/08/14/multiple-http2-implementation-vulnerabilities

HTTP/2 の実装には、複数の問題があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。この問題に対して、複数のベンダから情報が公開されています。使用している各ソフトウエアのベンダや配布元などの情報を確認し、対策の施されたバージョンが公開されている場合、適用することをおすすめします。詳細は、各ベンダなどが提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#98433488 HTTP/2 の実装に対するサービス運用妨害 (DoS) 攻撃手法 https://jvn.jp/vu/JVNVU98433488/ Apple SwiftNIO HTTP/2 1.5.0 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210436 CERT/CC Vulnerability Note VU#605641 HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion https://www.kb.cert.org/vuls/id/605641/ Apache Software Foundation HTTP/2 DoS issues announced today - Impact for Apache Tomcat https://mail-archives.apache.org/mod_mbox/tomcat-announce/201908.mbox/%3C71e8f5f2-86ff-26b3-e792-73eeb8655acb%40apache.org%3E h2o HTTP/2 DoS attack vulnerabilities CVE-2019-9512 CVE-2019-9514 CVE-2019-9515 #2090 https://github.com/h2o/h2o/issues/2090 nginx [nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

SwiftNIO HTTP/2 に複数の脆弱性 Japan Vulnerability Notes JVNVU#93696206 Apple SwiftNIO HTTP/2 における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU93696206/

SwiftNIO HTTP/2 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは次のとおりです。 - macOS Sierra 10.12 以降および Ubuntu 14.04 以降で動作している SwiftNIO HTTP/2 1.0.0 から 1.4.0 この問題は、SwiftNIO HTTP/2 を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

Apple SwiftNIO HTTP/2 1.5.0 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210436

Apache HTTP Web Server に複数の脆弱性 Japan Vulnerability Notes JVNVU#98790275 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98790275/

Apache HTTP Web Server には、複数の脆弱性があります。結果として、遠隔の第三者が情報改ざんや、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。対象となるバージョンは次のとおりです。 - Apache HTTP Web Server 2.4.41 より前のバージョンこの問題は、Apache HTTP Server を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。

Apache Software Foundation Fixed in Apache httpd 2.4.41 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.41 Apache Software Foundation Apache HTTP Server 2.4.41 Released https://www.apache.org/dist/httpd/Announcement2.4.html

Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションの問題 CERT/CC Vulnerability Note VU#918987 Bluetooth BR/EDR supported devices are vulnerable to key negotiation attacks https://kb.cert.org/vuls/id/918987/

Bluetooth BR/EDR 接続の暗号化で用いられる暗号鍵のエントロピーのネゴシエーションには、中間者による攻撃に脆弱である問題があります。結果として、第三者が中間者攻撃によって暗号通信を盗聴するなどの可能性があります。対象となるバージョンは次のとおりです。 - Bluetooth BR/EDR Core v5.1 およびそれ以前 2019年8月21日現在、この問題に対する解決策は提供されていません。各ベンダの情報を確認し、対策が施されたバージョンが公開されている場合は速やかに適用することをおすすめします。

Japan Vulnerability Notes JVNVU#90240762 Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションにおける問題 https://jvn.jp/vu/JVNVU90240762/ Bluetooth Key Negotiation of Bluetooth https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/ Bluetooth The building blocks of all Bluetooth devices https://www.bluetooth.com/specifications/ Bluetooth Keep up to date with Errata https://www.bluetooth.com/specifications/errata/

富士ゼロックス株式会社の複数の製品にオープンリダイレクトの脆弱性 Japan Vulnerability Notes JVN#07679150 ApeosWare Management Suite および ApeosWare Management Suite 2 におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN07679150/

富士ゼロックス株式会社が提供する複数の製品には、オープンリダイレクトの脆弱性があります。結果として、遠隔の第三者がユーザに細工したページを開かせることで、任意のウェブサイトにリダイレクトさせる可能性があります。対象となる製品およびバージョンは次のとおりです。 - ApeosWare Management Suite Ver.1.4.0.18 およびそれ以前 - ApeosWare Management Suite 2 Ver.2.1.2.4 およびそれ以前この問題は、該当する製品を富士ゼロックス株式会社が提供する修正パッチを適用することで解決します。詳細は、富士ゼロックス株式会社が提供する情報を参照してください。

富士ゼロックス株式会社 ApeosWare Management Suiteのオープンリダイレクト脆弱性について https://www.fujixerox.co.jp/support/software/aw_manage_suite_1/contents/awms_notice02

Microsoft 製品における複数の脆弱性 (CVE-2019-1181/CVE-2019-1182) について 2019年8月13日 (米国時間)、Microsoft が、リモートデスクトップサービスにおいて、遠隔から任意のコード実行が可能な脆弱性に関する情報を公開しました。今後、この脆弱性を悪用するマルウエアが登場した場合に、脆弱な端末に感染が広がる可能性があるとのことです。この問題は、2019年8月のセキュリティ更新プログラムを適用することで解決します。本プログラムをまだ適用していない場合、Microsoft Update などを用いて、速やかに適用することをおすすめします。 Microsoft Security Response Center (MSRC) Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182) https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/ JPCERT/CC 2019年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190032.html