« ■12/01(日)~12/07(土) のセキュリティ関連情報 | メイン | ■12/15(日)~12/21(土) のセキュリティ関連情報 »

2019年12月18日 (水)

■12/08(日)~12/14(土) のセキュリティ関連情報

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】複数の Adobe 製品に脆弱性
【4】Google Chrome に複数の脆弱性
【5】複数の Intel 製品に脆弱性
【6】WordPress に複数の脆弱性
【7】Samba に複数の脆弱性
【8】OpenSSL にバッファオーバーフローの脆弱性
【9】オムロン製 PLC CS、CJ および NJ シリーズに複数の脆弱性
【10】Kinza にクロスサイトスクリプティングの脆弱性
【11】WordPress 用プラグイン Custom Body Class に複数の脆弱性
【12】Athenz にオープンリダイレクトの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「インターネットガバナンスフォーラム参加記」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194901.html
https://www.jpcert.or.jp/wr/2019/wr194901.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases December 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/microsoft-releases-december-2019-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- SQL Server
- Visual Studio
- Skype for Business

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec

JPCERT/CC 注意喚起
2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190046.html

【2】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/apple-releases-multiple-security-updates

Japan Vulnerability Notes JVNVU#99404393
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99404393/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 13.3 より前のバージョン
- iOS 12.4.4 より前のバージョン
- iPadOS 13.3 より前のバージョン
- macOS Catalina 10.15.2 より前のバージョン
- macOS Mojave 10.14.6 (Security Update 2019-002 未適用)
- macOS High Sierra 10.13.6 (Security Update 2019-007 未適用)
- watchOS 6.1.1 より前のバージョン
- watchOS 5.3.4 より前のバージョン
- tvOS 13.3 より前のバージョン
- Safari 13.0.4 より前のバージョン
- Xcode 11.3 より前のバージョン
- iTunes for Windows 12.10.3 より前のバージョン
- iCloud for Windows 7.16 (AAS 8.2 付属) より前のバージョン
- iCloud for Windows 10.9 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 13.3 および iPadOS 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210785

Apple
iOS 12.4.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210787

Apple
macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210788

Apple
watchOS 6.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210789

Apple
watchOS 5.3.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210791

Apple
tvOS 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210790

Apple
Safari 13.0.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210792

Apple
Xcode 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210796

Apple
iTunes for Windows 12.10.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210793

Apple
Windows 用 iCloud 7.16 (AAS 8.2 付属) のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210795

Apple
Windows 用 iCloud 10.9 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210794

【3】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/adobe-releases-security-updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows, macOS)
- Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30155) およびそれ以前のバージョン (macOS)
- Adobe Acrobat 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS)
- Adobe Photoshop CC 20.0.7 およびそれ以前のバージョン (Windows, macOS)
- Adobe Photoshop CC 21.0.1 およびそれ以前のバージョン (Windows, macOS)
- Adobe Brackets 1.14 およびそれ以前のバージョン (Windows, Linux, macOS)
- Adobe ColdFusion 2018 アップデート 6 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-55
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-55.html

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-56
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-56.html

Adobe
Brackets に関するセキュリティアップデート公開 | APSB19-57
https://helpx.adobe.com/jp/security/products/brackets/apsb19-57.html

Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB19-58
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-58.html

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190045.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019121101.html

【4】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/12/10/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.79 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html

【5】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#93632155
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93632155/

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇
格するなどの可能性があります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019121102.html

関連文書 (英語)
Intel
INTEL-SA-00230: Intel Dynamic Platform and Thermal Framework Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00230.html

Intel
INTEL-SA-00237: Linux Administrative Tools for Intel Network Adapters Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00237.html

Intel
INTEL-SA-00253: Intel Ethernet I218 Adapter Driver for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00253.html

Intel
INTEL-SA-00284: Intel FPGA SDK for OpenCL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00284.html

Intel
INTEL-SA-00289: Intel Processors Voltage Settings Modification Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html

Intel
INTEL-SA-00299: Control Center-I Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00299.html

Intel
INTEL-SA-00311: Intel Quartus Prime Pro Edition Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00311.html

Intel
INTEL-SA-00312: Intel SCS Platform Discovery Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00312.html

Intel
INTEL-SA-00317: Unexpected Page Fault in Virtualized Environment Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00317.html

Intel
INTEL-SA-00323: Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00323.html

Intel
INTEL-SA-00324: Intel RST Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00324.html

【6】WordPress に複数の脆弱性

情報源
US-CERT Current Activity
WordPress Releases Security and Maintenance Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/13/wordpress-releases-security-and-maintenance-updates

概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのウェブブラウザ上で、任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.3.1 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (英語)
WordPress
WordPress 5.3.1 Security and Maintenance Release
https://wordpress.org/news/2019/12/wordpress-5-3-1-security-and-maintenance-release/

【7】Samba に複数の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/samba-releases-security-updates

概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.11.3 より前の 4.11 系バージョン
- Samba 4.10.11 より前の 4.10 系バージョン
- Samba 4.9.17 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響
を受けるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
DelegationNotAllowed not being enforced in protocol transition on Samba AD DC.
https://www.samba.org/samba/security/CVE-2019-14870.html

The Samba Team
Samba AD DC zone-named record Denial of Service in DNS management server (dnsserver)
https://www.samba.org/samba/security/CVE-2019-14861.html

【8】OpenSSL にバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#90419651
OpenSSL におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90419651/

概要
OpenSSL には、バッファオーバーフローの脆弱性があります。結果として、第
三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1
- OpenSSL 1.0.2

なお、OpenSSL 1.1.0 はサポートが終了しており、本件への影響は不明とのこ
とです。そのため開発者は OpenSSL 1.1.1 へのアップグレードを推奨してい
ます。

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [6 December 2019]
https://www.openssl.org/news/secadv/20191206.txt

【9】オムロン製 PLC CS、CJ および NJ シリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91952379
オムロン製 PLC CJ および PLC CS における複数の脆弱性
https://jvn.jp/vu/JVNVU91952379/

Japan Vulnerability Notes JVNVU#94348866
オムロン製 PLC CS, CJ および NJ シリーズにおける総当たり攻撃に対する脆弱性
https://jvn.jp/vu/JVNVU94348866/

概要
オムロン株式会社が提供する PLC CS、CJ および NJ シリーズには、複数の脆
弱性があります。結果として、遠隔の第三者が、コマンドを実行したり、ロッ
ク機能を制御したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Omron PLC CS シリーズの全てのバージョン
- Omron PLC CJ シリーズの全てのバージョン
- Omron PLC NJ シリーズの全てのバージョン

オムロン株式会社はこの問題に対する回避策に関する情報を提供しています。
詳細は、オムロン株式会社が提供する情報を参照してください。

関連文書 (日本語)
オムロン株式会社
弊社PLC(CSシリーズCPUおよびCJシリーズCPU)に対する外部機関からの脆弱性指摘について (PDF)
https://www.omron-cxone.com/security/2019-12-06_PLC_JP.pdf

【10】Kinza にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#63047298
Kinza におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN63047298/

概要
Dayz株式会社が提供する Kinza には、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者が、RSS リーダを使用しているユー
ザのウェブブラウザ上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Kinza (windows 版) version 5.9.2 およびそれ以前のバージョン
- Kinza (Mac 版) version 5.0.0 およびそれ以前のバージョン

この問題は、Kinza を Dayz株式会社が提供する修正済みのバージョンに更新
することで解決します。詳細は、Dayz株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)
Kinza
更新履歴
https://www.kinza.jp/download/releases/

【11】WordPress 用プラグイン Custom Body Class に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#26847507
WordPress 用プラグイン Custom Body Class における複数の脆弱性
https://jvn.jp/jp/JVN26847507/

概要
WordPress 用プラグイン Custom Body Class には、複数の脆弱性があります。
結果として、遠隔の第三者が、当該製品の管理画面にアクセスしたユーザの
ウェブブラウザ上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Custom Body Class 0.6.0 およびそれ以前のバージョン

この問題は、Custom Body Class を開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)
Custom Body Class
Changelog
https://wordpress.org/plugins/wp-custom-body-class/#developers

【12】Athenz にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#57070811
Athenz におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN57070811/

概要
Athenz には、オープンリダイレクトの脆弱性があります。結果として、遠隔
の第三者が、細工した URL にユーザをアクセスさせることで、任意のウェブ
サイトにリダイレクトさせる可能性があります。

対象となるバージョンは次のとおりです。

- Athenz v1.8.24 およびそれ以前のバージョン

この問題は、Athenz を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
yahoo/athenz
Athenz
https://github.com/yahoo/athenz

yahoo/athenz
fix UI open redirect vulnerability #700
https://github.com/yahoo/athenz/pull/700

コメント

この記事へのコメントは終了しました。