-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-1601 JPCERT/CC 2021-04-21 <<< JPCERT/CC WEEKLY REPORT 2021-04-21 >>> ―――――――――――――――――――――――――――――――――――――― ■04/11(日)〜04/17(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】複数のSAP製品に脆弱性 【4】Google Chromeに複数の脆弱性 【5】WordPressに複数の脆弱性 【6】複数のJuniper製品に脆弱性 【7】Apple GarageBandに情報窃取の脆弱性 【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性 【今週のひとくちメモ】JPCERT/CCが「2021年1月から3月を振り返って」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr211601.html https://www.jpcert.or.jp/wr/2021/wr211601.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/apply-microsoft-april-2021-security-update-mitigate-newly 概要 複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ イザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2021 年 4 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr JPCERT/CC 注意喚起 2021年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210017.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/adobe-releases-security-updates 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe RoboHelp - Adobe Bridge - Adobe Digital Editions - Adobe Photoshop 2020 - Adobe Photoshop 2021 この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021041401.html 関連文書 (英語) アドビ Security update available for RoboHelp | APSB21-20 https://helpx.adobe.com/security/products/robohelp/apsb21-20.html アドビ Security Updates Available for Adobe Bridge | APSB21-23 https://helpx.adobe.com/security/products/bridge/apsb21-23.html アドビ Security Updates Available for Adobe Digital Editions | APSB21-26 https://helpx.adobe.com/security/products/Digital-Editions/apsb21-26.html アドビ Security updates available for Adobe Photoshop | APSB21-28 https://helpx.adobe.com/security/products/photoshop/apsb21-28.html 【3】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases April 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/sap-releases-april-2021-security-updates 概要 複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報 を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day April 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649 【4】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/google-releases-security-updates-chrome CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 90.0.4430.72より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_14.html 【5】WordPressに複数の脆弱性 情報源 CISA Current Activity WordPress Releases Security and Maintenance Update https://us-cert.cisa.gov/ncas/current-activity/2021/04/16/wordpress-releases-security-and-maintenance-update 概要 WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が情報 窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 4.7から5.7までのすべてのバージョン この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す ることで解決します。詳細は、WordPressが提供する情報を参照してください。 関連文書 (日本語) WordPress WordPress 5.7.1 セキュリティとメンテナンスのリリース https://ja.wordpress.org/2021/04/15/wordpress-5-7-1-security-and-maintenance-release/ 【6】複数のJuniper製品に脆弱性 情報源 CISA Current Activity Juniper Networks Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/juniper-networks-releases-security-updates 概要 複数のJuniper製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Junos OS - Juniper Networks Paragon Active Assurance Control Center - Juniper Networks AppFormix 3 - Junos Space - Junos Space Security Director - Juniper Secure Analytics - Juniper Networks Session and Resource Control - Junos OS Evolved この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新 することで解決します。詳細は、Juniperが提供する情報を参照してください。 関連文書 (英語) Juniper Networks Security Advisories https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES 【7】Apple GarageBandに情報窃取の脆弱性 情報源 Apple About the security content of GarageBand 10.4.3 https://support.apple.com/en-us/HT212299 概要 GarageBandには、脆弱性があります。結果としてローカルの第三者が機密情報 を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - GarageBand 10.4.3より前のバージョン この問題は、GarageBandをAppleが提供する修正済みのバージョンに更新する ことで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash GarageBandに関するアップデートについて https://www.jpcert.or.jp/newsflash/2021041502.html 【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#54025691 スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN54025691/ 概要 スマートフォンアプリ「ぐるなび」には、アクセス制限不備の脆弱性がありま す。結果として遠隔の第三者が、当該製品を経由させユーザーを任意のウェブ サイトにアクセスさせる可能性があります。 対象となるバージョンは次のとおりです。 - Androidアプリ「ぐるなび」ver.10.0.10およびそれ以前 - iOSアプリ「ぐるなび」ver.11.1.2およびそれ以前 この問題は、該当する製品を株式会社ぐるなびが提供する修正済みのバージョ ンに更新することで解決します。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「2021年1月から3月を振り返って」を公開 2021年4月15日、JPCERT/CCは、「2021年1月から3月を振り返って」を公開しま した。2021年1月以降に確認された利用数の多い製品に関する悪用された脆弱 性や、マルウェアEmotetの感染端末の通知を受けた際の対応などをまとめてい ます。またゴールデンウィークの対応について記載しています。自組織の対応 状況のご確認にご活用ください。 参考文献 (日本語) JPCERT/CC CyberNewsFlash 2021年1月から3月を振り返って https://www.jpcert.or.jp/newsflash/2021041501.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgf2spAAoJEKntH+qu5CT/XIoP/2GcyHLHbs826ITbUYa/Isqm mHlyolK4lb5BfCu4AYdiWnsGUaFoEOHJ9Od0L57r7V8cTnKquTjx3qrgGimaqEQV mrjccxrVI2BojiS4IwsWIK2RzsMyUIbj0EVfYgh6dCBdCtzN7JZbKn4qvuhKbBWx fPoxkKuWdjbsuc88wVGHLu0fAgXFUl2/H36oq1aVmOKPmIg4Y955EnXvIfXtf496 eagZrqeppLEpcMW7Gq2k7QdbGWQJgKhD5KvWw3tXCExyDVr8PXSQLcrnzGxnB8zd bkss5U00AI8shcAydvAN6Ef4yI1lusDLXz2mlxxJ7HZEbUK1xGiXSexWXvjJJSg8 nU84mD4uLqciAUQsUHP06PHtfTyofXXQkK92Ox9SZV1kccyVEeTT4Eij6lJogMeY eYQqoOmqEAviGu8UW7fB0EK+9kKPkP77sY0QoGpvTBF73EQ1rf8pIcs2td9SiJqW OprU3K4oZ26AaBv9fDvYoRN7ls3q5H11xbZyDoJODHWgUqVTrxCz6rqQpgwL16ms AIOuncxQUEtzZKlHWWnJHRhGO/AbE9vafBAYaeMHbDlGQ74BLTcbYha6cpZMah2E xjXx5p4i1LTn8DAuPCRJ6BFTjm+g6wcR61CIb4UoqVOxJ0fAPDPp2nqynsu82Y+8 0gP61YIRT2nPpI4BuRUc =ZI5D -----END PGP SIGNATURE-----