-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4001 JPCERT/CC 2020-10-14 <<< JPCERT/CC WEEKLY REPORT 2020-10-14 >>> ―――――――――――――――――――――――――――――――――――――― ■10/04(日)〜10/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性 【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性 【4】複数の Cisco 製品に脆弱性 【5】QNAP Helpdesk に複数の脆弱性 【今週のひとくちメモ】警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204001.html https://www.jpcert.or.jp/wr/2020/wr204001.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 86.0.4240.75 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html 【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Note JVN#82892096 複数のエレコム製 LAN ルーターにおける OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN82892096/ 概要 複数のエレコム製 LAN ルーターには、OS コマンドインジェクションの脆弱性 があります。結果として、管理画面にアクセス可能な第三者が、root 権限で 任意の OS コマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - WRC-2533GST2 ファームウェア v1.14 より前のバージョン - WRC-1900GST2 ファームウェア v1.14 より前のバージョン - WRC-1750GST2 ファームウェア v1.14 より前のバージョン - WRC-1167GST2 ファームウェア v1.10 より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) エレコム株式会社 一部無線LANルーターにおけるOSコマンドインジェクションの脆弱性に関して https://www.elecom.co.jp/news/security/20201005-01/ 【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95014999 トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性 https://jvn.jp/vu/JVNVU95014999/ 概要 トレンドマイクロ株式会社製のウイルスバスター for Mac には、権限昇格の 脆弱性があります。結果として、当該製品にアクセス可能な第三者が、不正な シンボリックリンクを作成し、任意のファイルやフォルダを削除する可能性が あります。 対象となるバージョンは次のとおりです。 - ウイルスバスター for Mac バージョン 9.0 - ウイルスバスター for Mac バージョン 10.0 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。なお、9.0 系バージョンへのアップ デートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系 のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイク ロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09912 【4】複数の Cisco 製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/cisco-releases-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、認証された遠隔の 第三者が設定の一部を変更するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【5】QNAP Helpdesk に複数の脆弱性 情報源 CISA Current Activity QNAP Releases Security Updates for QNAP Helpdesk https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/qnap-releases-security-updates-qnap-helpdesk 概要 QNAP に搭載されているアプリ Helpdesk には、複数の脆弱性があります。結 果として、第三者が当該アプリを搭載する機器を制御する可能性があります。 対象となるバージョンは次のとおりです。 - Helpdesk 3.0.3 より前のバージョン この問題は、Helpdesk を QNAP Systems が提供する修正済みのバージョンに 更新することで解決します。詳細は、QNAP Systems が提供する情報を参照し てください。 関連文書 (英語) QNAP Systems Multiple Vulnerabilities in Helpdesk https://www.qnap.com/en/security-advisory/QSA-20-08 QNAP Systems Helpdesk 3.0.3 https://www.qnap.com/en/app_releasenotes/list.php?app_choose=helpdesk ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開 2020年10月1日、警察庁は、「令和2年上半期におけるサイバー空間をめぐる 脅威の情勢等について」と題してレポートを公開しました。新型コロナウイル ス感染症の発生に乗じたものを含め、令和2年上半期のサイバー攻撃の事例に ついて解説しています。 参考文献 (日本語) 警察庁 令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfhjyPAAoJEKntH+qu5CT/oIsP/0WwDQrpEd95dj9JtGDfZBxi Sa5way0q1z398jMjv8PC2nYTcOOhisi5y7JSaXupQ6wrsq0KMrvTCvykx/vrI7cM LBDXI+TDohquK1SrdxLt5ZnmyfsGmUXng/sLR14rqQAvxJOmB3iyaOCv6mvAFHsD is7A9H5BPWhwWE4EH7VIOQdYOanfEmrki3o9keKPCZCbp7w7OTw8t/TglJYeBkFd h0AUw/1UCo8C2+GGD0wYgTXMO492Z/k+19h0MnhO7WS2JhgTIooLno0PHxIXjwdb s3+dPHqdm/N0AdtVjWNTA4HaD3BGINsTiEL0ZPdvn6mMLNLBl/wGq/UVdbwQyyvy jeiU/juTKHCS35ohsCEYo4JH+hxzlGQVCgXkf+C6uE1iW6O6VQUp1VS6qVI61B8C bZniy5RrhH0tlPguCH2l6oEk2Qwqb/D/Jl6hKxYv/AmgZCur/Yq4g4sFDYt/2a5v 4ujEgrnNbP2RlhJOEnMRE+67Bk4RriCCKLOvbUTZnV0KvPi7mk1U4u2ttZWHLoqD FQm7lHExfJNvD5H9xRYbepDsHwd0ycMRh7wZVyyFvxg8W2dRMx7txoIDI2wSDoj9 U8O3mwr+oMByjj7S62wJyZN2fNc7ABW3RkfnaL3gx7dmNncgr62b5c/1iQQ/3Z2G /n4X6P6hzSg0UyI9+vtV =+x4A -----END PGP SIGNATURE-----