ミニ・いんふぉめーしょん

目 次 

【1】Adobe Flash Player に任意のコードが実行可能な脆弱性
【2】複数の VMware 製品に脆弱性
【3】Google Chrome に解放済みメモリ使用の脆弱性
【4】パナソニック製 BN-SDWBP3 に複数の脆弱性
【今週のひとくちメモ】JPCERT/CC 事務所移転のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr184601.html
https://www.jpcert.or.jp/wr/2018/wr184601.xml
================================================

【1】Adobe Flash Player に任意のコードが実行可能な脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/11/20/Adobe-Releases-Security-Updates

概要
Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (31.0.0.148) およびそれ以前 (Windows 版, macOS 版 および Linux 版)
- Adobe Flash Player for Google Chrome (31.0.0.148) およびそれ以前 (Windows 版, macOS 版, Linux 版 および Chrome OS 版)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (31.0.0.148) およびそれ以前 (Windows 10 版 および Windows 8.1 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC Alert 2018-11-21
Adobe Flash Player の脆弱性 (APSB18-44) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180047.html

Adobe
Flash Player に関するセキュリティアップデート公開 | APSB18-44
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-44.html

【2】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/11/20/VMware-Releases-Security-Updates

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/11/22/VMware-Releases-Security-Updates

概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- vSphere Data Protection (VDP) 6.1.10 より前のバージョンの 6.1 系
- vSphere Data Protection (VDP) 6.0.9 より前のバージョンの 6.0 系
- VMware Workstation Pro, Workstation Player 15.0.2 より前のバージョンの 15 系
- VMware Workstation Pro, Workstation Player 14.1.5 より前のバージョンの 14 系
- VMware Fusion Pro, Fusion 11.0.2 より前のバージョンの 11 系
- VMware Fusion Pro, Fusion 10.1.5 より前のバージョンの 10 系

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2018-0029
https://www.vmware.com/security/advisories/VMSA-2018-0029.html

VMware Security Advisories
VMSA-2018-0030
https://www.vmware.com/security/advisories/VMSA-2018-0030.html

【3】Google Chrome に解放済みメモリ使用の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/11/19/Google-Releases-Security-Updates-Chrome

概要
Google Chrome には、GPU における解放後メモリ使用の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 70.0.3538.110 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/11/stable-channel-update-for-desktop_19.html

【4】パナソニック製 BN-SDWBP3 に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#65082538
パナソニック製 BN-SDWBP3 における複数の脆弱性
https://jvn.jp/jp/JVN65082538/

概要
パナソニック株式会社が提供する BN-SDWBP3 には、複数の脆弱性があります。
結果として、同一 LAN 内の当該製品に管理者権限でアクセス可能なユーザが、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- BN-SDWBP3 ファームウェアバージョン 1.0.9 およびそれ以前

この問題は、BN-SDWBP3 をパナソニック株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、パナソニック株式会社が提供す
る情報を参照してください。

関連文書 (日本語)
パナソニック株式会社
ファームウェアのアップデートに関するお知らせ
https://p3.support.panasonic.com/faq/show/5017?&site_domain=p3

目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数のサイボウズ製品に脆弱性
【4】Android アプリ「みずほ銀行　みずほダイレクトアプリ」に SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】IPA が「中小規模向けIoT品質確認チェックリスト」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr184501.html
https://www.jpcert.or.jp/wr/2018/wr184501.xml
================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases November 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/11/13/Microsoft-Releases-November-2018-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Core
- Skype for Business
- Azure App Service on Azure Stack
- Team Foundation Server
- Microsoft Dynamics 365 (on-premises) version 8
- PowerShell Core
- Microsoft.PowerShell.Archive 1.2.2.0

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2018 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/ff746aa5-06a0-e811-a978-000d3a33c573

JPCERT/CC Alert 2018-11-14
2018年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180046.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/11/13/Adobe-Releases-Security-Updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が情
報を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (31.0.0.122) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (31.0.0.122) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (31.0.0.122) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Acrobat Reader DC Continuous (2019.008.20080) およびそれ以前 (Windows)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30105) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30456) およびそれ以前 (Windows)
- Adobe Acrobat DC Continuous (2019.008.20080) およびそれ以前 (Windows)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30105) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2015 (2015.006.30456) およびそれ以前 (Windows)
- Adobe Photoshop CC 19.1.6 およびそれ以前 (Windows および macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Flash Player に関するセキュリティアップデート公開 | APSB18-39
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-39.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB18-40
https://helpx.adobe.com/jp/security/products/acrobat/apsb18-40.html

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB18-43
https://helpx.adobe.com/jp/security/products/photoshop/apsb18-43.html

JPCERT/CC Alert 2018-11-14
Adobe Flash Player の脆弱性 (APSB18-39) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180044.html

JPCERT/CC Alert 2018-11-14
Adobe Acrobat および Reader の脆弱性 (APSB18-40) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180045.html

JPCERT/CC CyberNewsFlash
Adobe Photoshop CC のセキュリティアップデート (APSB18-43) について
https://www.jpcert.or.jp/newsflash/2018111401.html

【3】複数のサイボウズ製品に脆弱性

情報源
Japan Vulnerability Notes JVN#83739174
サイボウズ メールワイズにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN83739174/

Japan Vulnerability Notes JVN#15232217
サイボウズ Office における複数のディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN15232217/

Japan Vulnerability Notes JVN#16697622
サイボウズ デヂエにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN16697622

概要
複数のサイボウズ製品には、ディレクトリトラバーサルの脆弱性があります。
結果として、遠隔の第三者がサーバ上の任意のファイルを削除する可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- サイボウズ メールワイズ 5.0.0 から 5.4.5 まで
- サイボウズ Office 10.0.0 から 10.8.1 まで
- サイボウズ デヂエ 8.0.2 から 8.1.2 まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ メールワイズ 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006755.html

サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006683.html

サイボウズ株式会社
サイボウズ デヂエ 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006698.html

【4】Android アプリ「みずほ銀行　みずほダイレクトアプリ」に SSL サーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91640357
Android アプリ「みずほ銀行　みずほダイレクトアプリ」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU91640357/

概要
Android アプリ「みずほ銀行　みずほダイレクトアプリ」には、SSL サーバ証
明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃
によって、通信内容を盗聴したり、改ざんしたりする可能性があります。

対象となるバージョンは次のとおりです。

-Android アプリ「みずほ銀行　みずほダイレクトアプリ」バージョン 3.13.0 およびそれ以前

株式会社みずほ銀行によると、iOS 版アプリは本脆弱性の影響を受けないとの
ことです。

この問題は、Android アプリ「みずほ銀行　みずほダイレクトアプリ」を株式
会社みずほ銀行が提供する修正済みのバージョンに更新することで解決します。
詳細は、株式会社みずほ銀行が提供する情報を参照してください。

関連文書 (日本語)
株式会社みずほ銀行
みずほ銀行　みずほダイレクトアプリ
https://play.google.com/store/apps/details?id=jp.co.mizuhobank.banking

１．チェックが必要な情報

（１）Apple社製品に関する脆弱性
・複数のApple製品における脆弱性に対するアップデート(JVN)(10/31)
　https://jvn.jp/vu/JVNVU96365720/index.html

・iOSメールAppにおけるサービス運用妨害(DoS)の脆弱性(JVN)(11/02)
　https://jvn.jp/jp/JVN96551318/index.html
※CVSSv3では基本値「7.5」となっています。

（２）Cisco社製品に関する脆弱性
・Cisco ASAおよびFTDのSIPインスペクション機能におけるサービス運用
妨害(DoS)の脆弱性(JVN)(11/02)
　https://jvn.jp/vu/JVNVU93926212/index.html
※CVSSv3では基本値「7.5」となっています。

（３）その他
・BlueStacks App Playerにおけるアクセス制限不備の脆弱性(JVN)(10/24)
　https://jvn.jp/jp/JVN60702986/index.html

・SecureCore Standard Editionにおける認証不備の脆弱性(JVN)(10/24)
　https://jvn.jp/jp/JVN21528670/index.html

・OpenDolphinにおける複数の脆弱性(JVN)(10/26)
　https://jvn.jp/jp/JVN59394343/index.html
※CVSSv3では基本値「8.8」となっています。

・Confluence Serverにおけるスクリプトインジェクションの脆弱性(JVN)
(10/29)
　https://jvn.jp/jp/JVN37943805/index.html

・Apache Tomcat JK mod_jk Connectorにパストラバーサルの脆弱性(JVN)
(11/01)
　https://jvn.jp/vu/JVNVU99875465/index.html

・WordPress用プラグインEvent Calendar WDにおけるクロスサイトスクリ
プティングの脆弱性(JVN)(11/02)
　https://jvn.jp/jp/JVN75738023/index.html

・Texas Instruments製マイクロコントローラCC2640およびCC2650に
バッファオーバーフローの脆弱性(JVN)(11/02)
　https://jvn.jp/vu/JVNVU98767431/index.html

・LogonTracerに複数の脆弱性(JVN)(11/07)
　https://jvn.jp/vu/JVNVU98026636/index.html
※CVSSv3では基本値「10.0」となっています。

・自己暗号化ドライブ製品における複数の脆弱性(JVN)(11/07)
　https://jvn.jp/vu/JVNVU90149383/index.html

・「セキュリティ対策ツール」に対するWindows10 Fall Creators Update
向け修正モジュールのインストーラにおけるDLL読み込みに関する脆弱性
(JVN)(11/09)
　https://jvn.jp/jp/JVN15709478/index.html

・WordPress用プラグインLearnPressにおける複数の脆弱性(JVN)(11/09)
　https://jvn.jp/jp/JVN85760090/index.html
※CVSSv3では基本値「7.2」となっています。