-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-3601 JPCERT/CC 2020-09-16 <<< JPCERT/CC WEEKLY REPORT 2020-09-16 >>> ―――――――――――――――――――――――――――――――――――――― ■09/06(日)〜09/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Intel 製品に脆弱性 【4】Google Chrome に複数の脆弱性 【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性 【6】OpenSSL に暗号通信を解読可能な脆弱性 【7】AirStation WHR-G54S に複数の脆弱性 【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題 【今週のひとくちメモ】日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr203601.html https://www.jpcert.or.jp/wr/2020/wr203601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 CISA Current Activity Microsoft Releases September 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/microsoft-releases-september-2020-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - Microsoft ChakraCore - Internet Explorer - SQL Server - Microsoft Jet データベース エンジン - Microsoft Office、Microsoft Office Services および Web Apps - Microsoft Dynamics - Visual Studio - Microsoft Exchange Server - ASP.NET - Microsoft OneDrive - Azure DevOps この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 9 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Sep JPCERT/CC 注意喚起 2020年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200036.html 【2】複数の Adobe 製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/adobe-releases-security-updates 概要 複数の Adobe 製品には脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe InDesign - Adobe FrameMaker - Adobe Experience Manager - AEM Forms アドオン この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020090902.html Adobe Adobe InDesign に関するセキュリティアップデート公開 | APSB20-52 https://helpx.adobe.com/jp/security/products/indesign/apsb20-52.html Adobe Adobe FrameMaker に関するセキュリティアップデート公開 | APSB20-54 https://helpx.adobe.com/jp/security/products/framemaker/apsb20-54.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56 https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-56.html 【3】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#98381439 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU98381439 JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020090901.html 概要 Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security Center Advisories が公開されました。 詳細は、Intel が提供する情報を参照してください。 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【4】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 85.0.4183.102 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop.html 【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#32396594 Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN32396594 概要 株式会社ヨドバシカメラが提供する Android アプリ「ヨドバシ」には、アク セス制限不備の脆弱性があります。結果として、遠隔の第三者が当該製品を経 由し任意の Web サイトへアクセスする可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「ヨドバシ」 バージョン 1.8.7 およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Google Play ヨドバシ https://play.google.com/store/apps/details?id=com.yodobashi.iShop 【6】OpenSSL に暗号通信を解読可能な脆弱性 情報源 Japan Vulnerability Notes JVNVU#91973538 OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack) https://jvn.jp/vu/JVNVU91973538 概要 OpenSSL には、暗号通信を解読可能な脆弱性があります。結果として、遠隔の 第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって、暗号通信の盗聴を 行う可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのこと です。 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [09 September 2020] https://www.openssl.org/news/secadv/20200909.txt 【7】AirStation WHR-G54S に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#09166495 AirStation WHR-G54S における複数の脆弱性 https://jvn.jp/jp/JVN09166495 概要 AirStation WHR-G54S には複数の脆弱性があります。結果として、遠隔の第三 者が、ログインしているユーザのブラウザ上で任意のスクリプトを実行するな どの可能性があります。 対象となるバージョンは次のとおりです。 - WHR-G54S ファームウェア 1.43 およびそれ以前 なお、開発者によると、当該製品はすでにサポートが終了しているとのことで す。 恒久的な対策として、代替製品の使用を検討してください。代替製品について は開発者が提供する情報を参考にしてください。 関連文書 (日本語) 株式会社バッファロー WHR-G54Sにおける複数の脆弱性について https://www.buffalo.jp/news/detail/20200911-01.html 【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題 情報源 Japan Vulnerability Notes JVNVU#95246155 CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題 https://jvn.jp/vu/JVNVU95246155 概要 Bluetooth BR/EDR および BLE のペアリング処理にて Cross-Transport Key Derivation (CTKD) を用いている場合、鍵情報を上書される問題があります。 結果として、遠隔の第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって 機器内に保持している LTK や LK を改ざんし、認証されていない鍵や、より 強度の低い鍵の使用を強制する可能性があります。 対象となる機器は次のとおりです。 - Bluetooth Core Specification 4.0 および 5.0 に基づいて CTKD を実装しているBluetooth 機器 この問題は、各機器のベンダから提供される最新のファームウェアへアップデー トするなどの対応を実施してください。詳細は、ベンダが提供する情報を参照 してください。 関連文書 (英語) CERT/CC Devices supporting Bluetooth BR/EDR and LE using CTKD are vulnerable to key overwrite https://kb.cert.org/vuls/id/589825 Bluetooth SIG Bluetooth SIG Statement Regarding the Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy Vulnerability (BLURtooth) https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開 2020年9月3日、日本シーサート協議会は「新型ウイルス感染リスク禍における CSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)-」を公開し ました。本資料は、新型コロナウイルス感染症拡大や緊急事態宣言において メンバーの安全確保、感染防止を行いながら CSIRT 活動を継続して実施する ために検討整理すべき点をまとめています。組織の CSIRT 活動の環境整備に 活用してください。 参考文献 (日本語) 日本シーサート協議会 (日本コンピュータセキュリティインシデント対応チーム協議会) 新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)- https://www.nca.gr.jp/activity/imgs/CSIRTcorrespondence%20practice%20collection-ver.1.0.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfYVi4AAoJEKntH+qu5CT/VWgP/20ZdxcT/ddwpk1M3VYWEXIZ CBZhEDmpCTGmCJMHPI60hHHj7lLDi2689Z3N5zjJStyLW+ny/Xtm1dAnd4fpf1Ui JOVqsNbqNRQ1s/jhG+djsGsIFoxZwfqhCPYXd9yOC0nxgurmgWzqECupBarnZvhF Mxzv1fQG7KBE13MPPl4lZ6NvZUsL65QyWI957GC1roctuYCkU5f/4KDRQqxWuDRd NIWoZaNpQXOoE3DqsJK/dtCP5rjfQ0y1QWlsm9iwp9tFgUKWzR9iLEkIzFNBl9bn +ULJiM5ljBDOW7FA5JqCKi4NOD3geS8EhVqDrNiSCTlf4EFBqKMvn0GUtKqkRCo2 C7UB+mrI4Bpd0ILCanzNMqlULr7ZZ6WYjBY38k0avAvR2dEiUs/YacSLZxoQfcYk i3yt6fOTPtgQSKfgtOsOyP6Yn5WGrb0F/koa/ge+4f6Kg/G2bTLTnlvFtIGC0ESu 7K/uV2wkQi98JVBfIH+K5BHu4fzP5AW3lMRNxZDUtN/yhDfvaT+waGqr5+Rdm+9M NjkvQIhez/Z0vDvydNcCuhAKvW8oSj3m7ZxhH0qaARGnRDCWXPGJ28WKEsXtJEHc fdnEm8rgQSfhp1OlB97HnYfrGgF7aD5WzWev55pV9JX7XHwLhEIRwHBQGfDf+r4q GAOvkwaS7TjrBDHaPcOx =xfIW -----END PGP SIGNATURE-----