JPCERT-WR-2020-3601
2020-09-16
2020-09-06
2020-09-12
複数の Microsoft 製品に脆弱性
CISA Current Activity
Microsoft Releases September 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/microsoft-releases-september-2020-security-updates
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- SQL Server
- Microsoft Jet データベース エンジン
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Dynamics
- Visual Studio
- Microsoft Exchange Server
- ASP.NET
- Microsoft OneDrive
- Azure DevOps
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2020 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Sep
JPCERT/CC 注意喚起
2020年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200036.html
複数の Adobe 製品に脆弱性
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/adobe-releases-security-updates
複数の Adobe 製品には脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe InDesign
- Adobe FrameMaker
- Adobe Experience Manager
- AEM Forms アドオン
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020090902.html
Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-52
https://helpx.adobe.com/jp/security/products/indesign/apsb20-52.html
Adobe
Adobe FrameMaker に関するセキュリティアップデート公開 | APSB20-54
https://helpx.adobe.com/jp/security/products/framemaker/apsb20-54.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-56.html
複数の Intel 製品に脆弱性
Japan Vulnerability Notes JVNVU#98381439
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98381439
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020090901.html
Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。
詳細は、Intel が提供する情報を参照してください。
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
Google Chrome に複数の脆弱性
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/google-releases-security-updates-chrome
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 85.0.4183.102 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop.html
Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性
Japan Vulnerability Notes JVN#32396594
Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN32396594
株式会社ヨドバシカメラが提供する Android アプリ「ヨドバシ」には、アク
セス制限不備の脆弱性があります。結果として、遠隔の第三者が当該製品を経
由し任意の Web サイトへアクセスする可能性があります。
対象となるバージョンは次のとおりです。
- Android アプリ「ヨドバシ」 バージョン 1.8.7 およびそれ以前
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
Google Play
ヨドバシ
https://play.google.com/store/apps/details?id=com.yodobashi.iShop
OpenSSL に暗号通信を解読可能な脆弱性
Japan Vulnerability Notes JVNVU#91973538
OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)
https://jvn.jp/vu/JVNVU91973538
OpenSSL には、暗号通信を解読可能な脆弱性があります。結果として、遠隔の
第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって、暗号通信の盗聴を
行う可能性があります。
対象となるバージョンは次のとおりです。
- OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン
なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのこと
です。
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
OpenSSL Project
OpenSSL Security Advisory [09 September 2020]
https://www.openssl.org/news/secadv/20200909.txt
AirStation WHR-G54S に複数の脆弱性
Japan Vulnerability Notes JVN#09166495
AirStation WHR-G54S における複数の脆弱性
https://jvn.jp/jp/JVN09166495
AirStation WHR-G54S には複数の脆弱性があります。結果として、遠隔の第三
者が、ログインしているユーザのブラウザ上で任意のスクリプトを実行するな
どの可能性があります。
対象となるバージョンは次のとおりです。
- WHR-G54S ファームウェア 1.43 およびそれ以前
なお、開発者によると、当該製品はすでにサポートが終了しているとのことで
す。
恒久的な対策として、代替製品の使用を検討してください。代替製品について
は開発者が提供する情報を参考にしてください。
株式会社バッファロー
WHR-G54Sにおける複数の脆弱性について
https://www.buffalo.jp/news/detail/20200911-01.html
CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題
Japan Vulnerability Notes JVNVU#95246155
CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題
https://jvn.jp/vu/JVNVU95246155
Bluetooth BR/EDR および BLE のペアリング処理にて Cross-Transport Key
Derivation (CTKD) を用いている場合、鍵情報を上書される問題があります。
結果として、遠隔の第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって
機器内に保持している LTK や LK を改ざんし、認証されていない鍵や、より
強度の低い鍵の使用を強制する可能性があります。
対象となる機器は次のとおりです。
- Bluetooth Core Specification 4.0 および 5.0 に基づいて CTKD を実装しているBluetooth 機器
この問題は、各機器のベンダから提供される最新のファームウェアへアップデー
トするなどの対応を実施してください。詳細は、ベンダが提供する情報を参照
してください。
CERT/CC
Devices supporting Bluetooth BR/EDR and LE using CTKD are vulnerable to key overwrite
https://kb.cert.org/vuls/id/589825
Bluetooth SIG
Bluetooth SIG Statement Regarding the Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy Vulnerability (BLURtooth)
https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/
日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開
2020年9月3日、日本シーサート協議会は「新型ウイルス感染リスク禍における
CSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)-」を公開し
ました。本資料は、新型コロナウイルス感染症拡大や緊急事態宣言において
メンバーの安全確保、感染防止を行いながら CSIRT 活動を継続して実施する
ために検討整理すべき点をまとめています。組織の CSIRT 活動の環境整備に
活用してください。
日本シーサート協議会 (日本コンピュータセキュリティインシデント対応チーム協議会)
新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)-
https://www.nca.gr.jp/activity/imgs/CSIRTcorrespondence%20practice%20collection-ver.1.0.pdf