-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2019-3701
                                                                   JPCERT/CC
                                                                  2019-09-26

            <<< JPCERT/CC WEEKLY REPORT 2019-09-26 >>>

――――――――――――――――――――――――――――――――――――――
■09/15(日)〜09/21(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chrome に複数の解放済みメモリ使用 (Use-after-free) の脆弱性
【2】複数の VMware 製品に脆弱性
【3】LINE (Android版) に複数の整数オーバーフローの脆弱性
【今週のひとくちメモ】脆弱性の開示に関するCERTガイドの更新、および課題の募集について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2019/wr193701.html
        https://www.jpcert.or.jp/wr/2019/wr193701.xml
============================================================================


【1】Google Chrome に複数の解放済みメモリ使用 (Use-after-free) の脆弱性

    情報源
      US-CERT Current Activity
      Google Releases Security Updates for Chrome
      https://www.us-cert.gov/ncas/current-activity/2019/09/19/google-releases-security-updates-chrome

    概要
      Google Chrome には、複数の解放済みメモリの使用に関する脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 77.0.3865.90 より前のバージョン

      この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
      新することで解決します。詳細は、Google が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop_18.html

【2】複数の VMware 製品に脆弱性

    情報源
      US-CERT Current Activity
      VMware Releases Security Updates for Multiple Products
      https://www.us-cert.gov/ncas/current-activity/2019/09/17/vmware-releases-security-updates-multiple-products

      US-CERT Current Activity
      VMware Releases Security Updates for Multiple Products
      https://www.us-cert.gov/ncas/current-activity/2019/09/20/vmware-releases-security-updates-multiple-products

    概要
      複数の VMware 製品には、脆弱性があります。結果として、管理者権限を持た
      ないゲスト OS のユーザがホスト OS 上で任意のコードを実行するなどの可能
      性があります。

      対象となる製品は次のとおりです。

      - VMware vSphere ESXi
      - VMware vCenter Server
      - VMware Workstation Pro / Player
      - VMware Fusion Pro / Fusion
      - VMware Remote Console for Windows
      - VMware Remote Console for Linux
      - VMware Horizon Client for Windows
      - VMware Horizon Client for Linux
      - VMware Horizon Client for Mac

      この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
      するか、パッチを適用することで解決します。詳細は、VMware が提供する情
      報を参照してください。

    関連文書 (英語)
      VMware Security Advisories
      VMSA-2019-0013.1
      https://www.vmware.com/security/advisories/VMSA-2019-0013.html

      VMware Security Advisories
      VMSA-2019-0014.1
      https://www.vmware.com/security/advisories/VMSA-2019-0014.html

【3】LINE (Android版) に複数の整数オーバーフローの脆弱性

    情報源
      Japan Vulnerability Notes JVN#97845465
      LINE (Android版) における複数の整数オーバーフローの脆弱性
      https://jvn.jp/jp/JVN97845465/

    概要
      LINE (Android 版) には、複数の整数オーバーフローの脆弱性が存在します。
      結果として、遠隔の第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - LINE (Android版) 4.4.0 以上 9.15.1 未満のバージョン

      この問題は、LINE (Android 版) を LINE 株式会社が提供する修正済みのバー
      ジョンに更新することで解決します。詳細は、LINE 株式会社が提供する情報
      を参照してください。

    関連文書 (日本語)
      LINE 株式会社
      LINE（ライン） - 無料通話・メールアプリ
      https://play.google.com/store/apps/details?id=jp.naver.line.android


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○脆弱性の開示に関するCERTガイドの更新、および課題の募集について

      CERT/CC は、2019年9月16日に "CERT Guide to Coordinated Vulnerability
      Disclosure" のアップデートに関するブログ記事を公開しました。本ガイドは、
      脆弱性の開示プロセスに関しての指針が記載されています。今回のアップデー
      トでは本ガイドの内容の更新及び web 化が行われました。また、本ガイドは
      関係者からの意見を取り込むため、課題の提案を広く募集しています。

    参考文献 (英語)
      CERT/CC
      Update on the CERT Guide to Coordinated Vulnerability Disclosure
      https://insights.sei.cmu.edu/cert/2019/09/update-on-the-cert-guide-to-coordinated-vulnerability-disclosure.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJdizLrAAoJEKntH+qu5CT/A3cP/2BwZSFaJoQuerFKMQo4keRH
UFHT2GLGe97dqJZ9OQDZXj7l29KlYOQdRmB/fF6+OJ1sIYNKQveaz15B8o2q0FMR
IMBMxHEDZOK0rFP7hBgatQ/lYPsVHGz/yg/X8/yl9F9Mo2q8QJOIQQLBtdbd/1XY
EKD+mqHxPDQ+h5z/AfAC2YiGz68teUddR7XRSstZGpYTiX/UwoFo7eH4d1oX5Tge
XdF59z0WyOUfvk1BqQ4DkQzGErxHTMfMqd5bog3tSPSFi0bCyQD/MD3z5PbLUU8h
K2bSovceqxOSTh2K47TaZT2cEQjbdsIUTzg+0tkimnvIIOyt6bwnolMY0nsfiYBU
Knu7Uv4oCMRZhuRdHtSCdxklLrSs2qrtWNFMqnJWLFyLjgKFFnCw6S19KCTAOh74
25Sw/WlaeWdEAyrrMvEhCaXGn2M6+Dy8h3AUPWj2iQmgLV80tpWDg/NsMnwSLXQZ
PHsSZ8mHrBrGrQeLzWfqtmW1hxuEmtbp9qn3sKtdtBGci98MJUxy8cHtBuJjEoXD
jwnJ/M1+fFw1fJeJ0e6wccs3KNzwWyBM2s4HgWjrxZb8Z80udxzpSi4MZq14q5Ys
1ZlKjiyr1vrfXE/KlN5jwGy3quAzxFj8sSbDgRQs+A2juUSguvbvDtCW+V+4w5+y
M7o04HaXOcPI5v3g7rux
=3vD+
-----END PGP SIGNATURE-----