-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-0301 JPCERT/CC 2020-01-22 <<< JPCERT/CC WEEKLY REPORT 2020-01-22 >>> ―――――――――――――――――――――――――――――――――――――― ■01/12(日)〜01/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】2020年 1月 Oracle Critical Patch Update について 【4】複数の Intel 製品に脆弱性 【5】Google Chrome に複数の脆弱性 【6】VMware Tools に権限昇格の脆弱性 【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性 【今週のひとくちメモ】JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr200301.html https://www.jpcert.or.jp/wr/2020/wr200301.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases January 2020 Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/14/microsoft-releases-january-2020-security-updates US-CERT Current Activity Microsoft Releases Security Advisory on Internet Explorer Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Office、Microsoft Office Services および Web Apps - ASP.NET Core - .NET Core - .NET Framework - OneDrive for Android - Microsoft Dynamics この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。なお、2020年1月17日 (米国時間) に公開された Microsoft Internet Explorer の脆弱性 (CVE-2020-0674) については、2020年1月21日 時点で、解決策は提供されていません。Microsoft が提供する情報を参照し、 回避策の適用や別の Web ブラウザの使用を検討してください。詳細は、 Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 1 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan JPCERT/CC 注意喚起 2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200001.html JPCERT/CC 注意喚起 Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200004.html 関連文書 (英語) マイクロソフト株式会社 ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 CERT/CC Vulnerability Note VU#338824 Microsoft Internet Explorer Scripting Engine memory corruption vulnerability https://kb.cert.org/vuls/id/338824/ 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/14/adobe-releases-security-updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃 取したり、実行ユーザの権限で任意のコードを実行したりする可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - Adobe Experience Manager 6.5、6.4、6.3 - Adobe Illustrator CC 2019 24.0 およびそれ以前のバージョン (Windows) なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、 6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用 している場合は、サポート対象のバージョンをご使用ください。 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020011501.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-01 https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-01.html Adobe Adobe Illustrator CC に関するセキュリティアップデート公開 | APSB20-03 https://helpx.adobe.com/jp/security/products/illustrator/apsb20-03.html 【3】2020年 1月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases January 2020 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200002.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - January 2020 https://www.oracle.com/security-alerts/cpujan2020.html 【4】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/14/intel-releases-security-updates Japan Vulnerability Notes JVNVU#98694410 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU98694410/ 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020011502.html 関連文書 (英語) Intel INTEL-SA-00300: Intel SNMP Subagent Stand-Alone Advisory for Windows https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00300.html Intel INTEL-SA-00306: Intel Chipset Device Software Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00306.html Intel INTEL-SA-00308: Intel RWC 3 for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00308.html Intel INTEL-SA-00314: Intel Processor Graphics Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00314.html Intel INTEL-SA-00325: Intel VTune Amplifier for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00325.html Intel INTEL-SA-00332: Intel DAAL Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00332.html 【5】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/01/17/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 79.0.3945.130 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html 【6】VMware Tools に権限昇格の脆弱性 情報源 US-CERT Current Activity VMware Releases Security Update https://www.us-cert.gov/ncas/current-activity/2020/01/14/vmware-releases-security-update 概要 VMware Tools には、権限昇格の脆弱性があります。結果として、ゲスト OS のユーザが権限を昇格する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Tools 10 系のバージョン (Windows) この問題は、VMware Tools を VMware が提供する脆弱性の影響を受けないバー ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照 してください。 関連文書 (英語) VMware Security Advisories VMSA-2020-0002 https://www.vmware.com/security/advisories/VMSA-2020-0002.html 【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#37183636 トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性 https://jvn.jp/jp/JVN37183636/ Japan Vulnerability Notes JVN#49593434 トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性 https://jvn.jp/jp/JVN49593434/ 概要 トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性があり ます。結果として、第三者が秘密鍵や機微な情報を取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - パスワードマネージャー Windows 版 5.0.0.1076 およびそれ以前のバージョン - パスワードマネージャー Windows 版 3.8.0.1103 およびそれ以前のバージョン - パスワードマネージャー Mac 版 5.0.1047 およびそれ以前のバージョン - パスワードマネージャー Mac 版 3.8.0.1052 およびそれ以前のバージョン この問題は、トレンドマイクロ製パスワードマネージャーをトレンドマイクロ 株式会社が提供する修正済みのバージョンに更新することで解決します。詳細 は、トレンドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-19696) https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx トレンドマイクロ株式会社 アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-15625) https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1123614.aspx ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開 日本情報経済社会推進協会 (JIPDEC) は、個人情報保護に関する社内向け教育 参考資料を公開しており、2020年1月15日には新たな資料「紛失・盗難を防ご う」を公開しました。実際の事故から原因や再発防止策を整理しています。個 人情報の取扱いに関する事故を防ぐため、従業者に対するルールの周知徹底な どにご活用ください。 参考文献 (日本語) 日本情報経済社会推進協会 (JIPDEC) お役立ちツール https://privacymark.jp/system/reference/index.html#tools ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeJ5OhAAoJEKntH+qu5CT/6ZIP/RGkKOyS1lfegdqm9E8hmdsu yKC4UbvieI+PvZSBl1opHf5aifeTyqwahyKBnP4Q6sK4abYv7oIqqormURTKkpnB Fb7deFlOm/ZQTYu8J7Plh+E+JiiNAOgnfp2BYUI8KwXcnR71sqIxLo9YX4hUhBJv oh/8tk0QHcGD37oPlyn1dYFHrkMyLAj1qtrKAz+GHhaEbMQ5mk5cLsy/X2+p+U0o 0o2DPA/F4ztwS5Syl/6H5qrGzI2ayc9rmnnKCZRp1kPDGC6YcfUSGH6ebdIGX6yT dSdvp2qhFFUY57JnFaYR0FphCFS9O/MozG7J+fLE0CwbTuG5IBz+5gF8IdD+64IE /KffwzkZGqesMmEPz+dS0vp+iIOV2xX2vpBqJTDOLu3opumxwFg1vXRITQwZH2Rp /lSieuqJ2OozkjuSMj2P+wt+lF257+cZNAqWRtfSgm/Hp2EsudlLYNDInG68nd5x 2xf1opaVQl4uizP8j9pDlfwCN8+7K57bQRYCIXzqEjJtA/jHKawyT9IXhuHuuUMY FMn4XhCn4fROH+vibmmRB4Wy9gPurgcgn8VGVvKB3cc93funjHYUCjHhkkL8jAbn N7tF2t2hcnCHuiNHdbkVtUZP7ZvB/OaLq+WapOO8+hME+poHLf8mfxNz8ETfFwvk Vmgts2Ibefzk1z5xcH61 =4MnF -----END PGP SIGNATURE-----