目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2020年 1月 Oracle Critical Patch Update について
【4】複数の Intel 製品に脆弱性
【5】Google Chrome に複数の脆弱性
【6】VMware Tools に権限昇格の脆弱性
【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性
【今週のひとくちメモ】JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200301.html
https://www.jpcert.or.jp/wr/2020/wr200301.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases January 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/microsoft-releases-january-2020-security-updates
US-CERT Current Activity
Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- ASP.NET Core
- .NET Core
- .NET Framework
- OneDrive for Android
- Microsoft Dynamics
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。なお、2020年1月17日 (米国時間) に公開された Microsoft
Internet Explorer の脆弱性 (CVE-2020-0674) については、2020年1月21日
時点で、解決策は提供されていません。Microsoft が提供する情報を参照し、
回避策の適用や別の Web ブラウザの使用を検討してください。詳細は、
Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2020 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan
JPCERT/CC 注意喚起
2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200001.html
JPCERT/CC 注意喚起
Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html
関連文書 (英語)
マイクロソフト株式会社
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001
CERT/CC Vulnerability Note VU#338824
Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/adobe-releases-security-updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃
取したり、実行ユーザの権限で任意のコードを実行したりする可能性がありま
す。
対象となる製品およびバージョンは次のとおりです。
- Adobe Experience Manager 6.5、6.4、6.3
- Adobe Illustrator CC 2019 24.0 およびそれ以前のバージョン (Windows)
なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、
6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用
している場合は、サポート対象のバージョンをご使用ください。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020011501.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-01
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-01.html
Adobe
Adobe Illustrator CC に関するセキュリティアップデート公開 | APSB20-03
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-03.html
【3】2020年 1月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases January 2020 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200002.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - January 2020
https://www.oracle.com/security-alerts/cpujan2020.html
【4】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/intel-releases-security-updates
Japan Vulnerability Notes JVNVU#98694410
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98694410/
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020011502.html
関連文書 (英語)
Intel
INTEL-SA-00300: Intel SNMP Subagent Stand-Alone Advisory for Windows
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00300.html
Intel
INTEL-SA-00306: Intel Chipset Device Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00306.html
Intel
INTEL-SA-00308: Intel RWC 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00308.html
Intel
INTEL-SA-00314: Intel Processor Graphics Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00314.html
Intel
INTEL-SA-00325: Intel VTune Amplifier for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00325.html
Intel
INTEL-SA-00332: Intel DAAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00332.html
【5】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/17/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 79.0.3945.130 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html
【6】VMware Tools に権限昇格の脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/01/14/vmware-releases-security-update
概要
VMware Tools には、権限昇格の脆弱性があります。結果として、ゲスト OS
のユーザが権限を昇格する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware Tools 10 系のバージョン (Windows)
この問題は、VMware Tools を VMware が提供する脆弱性の影響を受けないバー
ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0002
https://www.vmware.com/security/advisories/VMSA-2020-0002.html
【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#37183636
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN37183636/
Japan Vulnerability Notes JVN#49593434
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN49593434/
概要
トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性があり
ます。結果として、第三者が秘密鍵や機微な情報を取得する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- パスワードマネージャー Windows 版 5.0.0.1076 およびそれ以前のバージョン
- パスワードマネージャー Windows 版 3.8.0.1103 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 5.0.1047 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 3.8.0.1052 およびそれ以前のバージョン
この問題は、トレンドマイクロ製パスワードマネージャーをトレンドマイクロ
株式会社が提供する修正済みのバージョンに更新することで解決します。詳細
は、トレンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-19696)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx
トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-15625)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1123614.aspx