== 目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Mozilla Firefox に複数の脆弱性
【4】Google Chrome に解放済みメモリ使用の脆弱性
【5】WordPress に複数の脆弱性
【6】複数のサイボウズ製品に脆弱性
【7】日本電気株式会社製の無線 LAN ルータに複数の脆弱性
【8】Pixar Tractor にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】長期休暇に備えて 2018/12
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr184901.html
https://www.jpcert.or.jp/wr/2018/wr184901.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases December 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/11/Microsoft-Releases-December-2018-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- Microsoft Dynamics NAV
- Microsoft Exchange Server
- Microsoft Visual Studio
- Windows Azure Pack (WAP)
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2018 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d
JPCERT/CC Alert 2018-12-12
2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180050.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/11/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Acrobat Reader DC Continuous (2019.008.20081) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Continuous (2019.008.20080) およびそれ以前 (macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)
- Adobe Acrobat DC Continuous (2019.008.20081) およびそれ以前 (Windows)
- Adobe Acrobat DC Continuous (2019.008.20080) およびそれ以前 (macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe
Adobe Acrobat および Reader に関するセキュリティ情報 | APSB18-41
https://helpx.adobe.com/jp/security/products/acrobat/apsb18-41.html
JPCERT/CC Alert 2018-12-12
Adobe Acrobat および Reader の脆弱性 (APSB18-41) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180049.html
【3】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2018/12/11/Mozilla-Releases-Security-Updates-Firefox
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 64 より前のバージョン
- Mozilla Firefox ESR 60.4 より前のバージョン
この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 64
https://www.mozilla.org/en-US/security/advisories/mfsa2018-29/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.4
https://www.mozilla.org/en-US/security/advisories/mfsa2018-30/
【4】Google Chrome に解放済みメモリ使用の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/12/12/Google-Releases-Security-UIpdates-Chrome
概要
Google Chrome には、PDFium における解放済みメモリ使用の脆弱性がありま
す。結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 71.0.3578.98 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop_12.html
【5】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/12/13/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、特定の権限を持つユー
ザがファイルを削除するなどの可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 5.0.1 より前のバージョン
この問題は、WordPress を WordPress.org が提供する修正済みのバージョン
に更新することで解決します。詳細は、WordPress.org が提供する情報を参照
してください。
関連文書 (英語)
WordPress.org
WordPress 5.0.1 Security Release
https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
【6】複数のサイボウズ製品に脆弱性
情報源
Japan Vulnerability Notes JVN#23161885
サイボウズ リモートサービスにおける複数の脆弱性
https://jvn.jp/jp/JVN23161885/
Japan Vulnerability Notes JVN#25385698
サイボウズ Garoon におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN25385698/
概要
複数のサイボウズ製品には、脆弱性があります。結果として、遠隔の第三者が
サーバ上の任意のファイルを削除するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- サイボウズ リモートサービス 3.0.0 から 3.1.8 まで
- サイボウズ Garoon 3.0.0 から 4.10.0 まで
この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新するか、パッチを適用することで解決します。詳細は、サイボウズ株式
会社が提供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 3 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006786.html
サイボウズ株式会社
「Garoon 3.7 / 4.6 パッチプログラム」リリースのお知らせ (2018/12/7)
https://cs.cybozu.co.jp/2018/006790.html
【7】日本電気株式会社製の無線 LAN ルータに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#87535892
Aterm WF1200CR および Aterm WG1200CR における複数の脆弱性
https://jvn.jp/jp/JVN87535892/
概要
日本電気株式会社製の無線 LAN ルータには、複数の脆弱性があります。結果
として、当該製品にアクセス可能な第三者が、任意の OS コマンドを実行する
などの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Aterm WF1200CR ファームウェア Ver1.1.1 およびそれ以前
- Aterm WG1200CR ファームウェア Ver1.0.1 およびそれ以前
この問題は、該当する製品を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。
関連文書 (日本語)
日本電気株式会社
Aterm WF1200CR および Aterm WG1200CR における複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv18-021.html
【8】Pixar Tractor にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#756913
Pixars Tractor contains a stored cross-site scripting vulnerability
https://www.kb.cert.org/vuls/id/756913/
Japan Vulnerability Notes JVNVU#90382644
Pixar Tractor におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU90382644/
概要
Pixar Animation Studios が提供するネットワークレンダリングソフトウエア
Tractor には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、第三者が、当該製品にログインしているユーザのウェブブラウザ上で、任
意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Tractor version 2.2 およびそれ以前
この問題は、Pixar Tractor を Pixar Animation Studios が提供する修正済
みのバージョンに更新することで解決します。詳細は、Pixar Animation
Studios が提供する情報を参照してください。
関連文書 (英語)
Pixar Animation Studios
Tractor 2
https://renderman.pixar.com/product/tractor
Pixar Animation Studios
Release Notes
https://rmanwiki.pixar.com/display/TRA/Release+Notes