■02/09(日)~02/15(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】複数の Mozilla 製品に脆弱性
【5】ウイルスバスター クラウド (Windows版) にサービス運用妨害 (DoS) 攻撃の脆弱性
【6】IBM ServeRAID Manager に任意のコード実行が可能な脆弱性
【7】HtmlUnit に任意のコード実行が可能な脆弱性
【8】スマートフォンアプリ「ilbo」に認証不備の脆弱性
【今週のひとくちメモ】NICT が「NICTER観測レポート2019」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200701.html
https://www.jpcert.or.jp/wr/2020/wr200701.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases February 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/microsoft-releases-february-2020-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Internet Explorer
- Microsoft Exchange Server
- Microsoft SQL Server
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows 悪意のあるソフトウェアの削除ツール
- Windows Surface Hub
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2020 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Feb
JPCERT/CC 注意喚起
2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200008.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、任意のコードを実行したりするなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Framemaker
- Adobe Acrobat DC Continuous
- Adobe Acrobat 2017 Classic 2017
- Adobe Acrobat 2015 Classic 2015
- Adobe Acrobat Reader DC Continuous
- Adobe Acrobat Reader 2017 Classic 2017
- Adobe Acrobat Reader 2015 Classic 2015
- Adobe Flash Player Desktop Runtime
- Adobe Flash Player for Google Chrome
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11
- Adobe Digital Editions
- Adobe Experience Manager
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-05) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200006.html
JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-06) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200007.html
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020021201.html
関連文書 (英語)
Adobe
Security Updates Available for Adobe Framemaker | APSB20-04
https://helpx.adobe.com/security/products/framemaker/apsb20-04.html
Adobe
Security update available for Adobe Acrobat and Reader | APSB20-05
https://helpx.adobe.com/security/products/acrobat/apsb20-05.html
Adobe
Security Bulletin for Adobe Flash Player | APSB20-06
https://helpx.adobe.com/security/products/flash-player/apsb20-06.html
Adobe
Security Updates Available for Adobe Digital Editions | APSB20-07
https://helpx.adobe.com/security/products/Digital-Editions/apsb20-07.html
Adobe
Security updates available for Adobe Experience Manager | APSB20-08
https://helpx.adobe.com/security/products/experience-manager/apsb20-08.html
【3】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/intel-releases-security-updates
Japan Vulnerability Notes JVNVU#96221887
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU96221887
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020021202.html
関連文書 (英語)
Intel
INTEL-SA-00273: Intel Renesas Electronics USB 3.0 Driver Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00273.html
Intel
INTEL-SA-00307: Intel CSME Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00307.html
Intel
INTEL-SA-00336: Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00336.html
Intel
INTEL-SA-00339: Intel RWC2 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00339.html
Intel
INTEL-SA-00340: Intel MPSS Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00340.html
Intel
INTEL-SA-00341: Intel RWC3 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00341.html
【4】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/mozilla-releases-security-updates-multiple-products
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 73 より前のバージョン
- Mozilla Firefox ESR 68.5 より前のバージョン
- Mozilla Thunderbird 68.5 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 73
https://www.mozilla.org/en-US/security/advisories/mfsa2020-05/
Mozilla
Security Vulnerabilities fixed in Firefox ESR68.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-06/
Mozilla
Security Vulnerabilities fixed in Thunderbird 68.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-07/
【5】ウイルスバスター クラウド (Windows版) にサービス運用妨害 (DoS) 攻撃の脆弱性
情報源
Japan Vulnerability Notes JVN#02921757
ウイルスバスター クラウド (Windows版) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN02921757/
概要
ウイルスバスター クラウド (Windows版) には、サービス運用妨害 (DoS) 攻
撃の脆弱性があります。結果として、第三者が当該製品を無効化する可能性が
あります。
対象となるバージョンは次のとおりです。
- ウイルスバスター クラウド (Windows版) バージョン 15
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について (CVE-2019-19694)
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1124058.aspx
【6】IBM ServeRAID Manager に任意のコード実行が可能な脆弱性
情報源
CERT/CC Vulnerability Note VU#597809
IBM ServeRAID Manager exposes unauthenticated Java Remote Method Invocation (RMI) service
https://www.kb.cert.org/vuls/id/597809/
概要
IBM ServeRAID Manager には、任意のコード実行が可能な脆弱性があります。
結果として、遠隔の第三者が、Microsoft Windows の SYSTEM 権限で任意のコー
ドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- IBM ServeRAID Manager 9.30-17006 およびそれ以前
2020年2月18日現在、IBM ServeRAID Manager 向けの修正バージョンは提供さ
れていません。また IBM ServeRAID Manager はサポートが終了しています。
IBM はこの問題に関する回避策の情報を提供しています。詳細は、IBM が提供
する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99571081
IBM ServeRAID Manager における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU99571081/
関連文書 (英語)
IBM
IBM ServeRAID Application CD v9.30-17006 - IBM System x and BladeCenter
https://www.ibm.com/support/pages/ibm-serveraid-application-cd-v930-17006-ibm-system-x-and-bladecenter
【7】HtmlUnit に任意のコード実行が可能な脆弱性
情報源
Japan Vulnerability Notes JVN#34535327
HtmlUnit において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN34535327/
概要
HtmlUnit には、任意のコード実行が可能な脆弱性があります。結果として、
遠隔の第三者が、中間者攻撃などの方法により、任意の Java コードを実行す
る可能性があります。
対象となるバージョンは次のとおりです。
- HtmlUnit 2.37.0 より前のバージョン
この問題は、HtmlUnit を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
RBRi
HtmlUnit-2.37.0
https://github.com/HtmlUnit/htmlunit/releases/tag/2.37.0
【8】スマートフォンアプリ「ilbo」に認証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#35496038
スマートフォンアプリ「ilbo」における認証不備の脆弱性
https://jvn.jp/jp/JVN35496038/
概要
株式会社エクストランが提供するスマートフォンアプリ「ilbo」には、認証不
備の脆弱性があります。結果として、当該製品にログイン可能な第三者が、他
のユーザの映像を閲覧する可能性があります。
対象となるバージョンは次のとおりです。
- Android アプリ「ilbo」 1.1.8 より前のバージョン
- iOS アプリ「ilbo」 1.2.0 より前のバージョン
この問題は、該当する製品を株式会社エクストランが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社エクストランが提供す
る情報を参照してください。
関連文書 (日本語)
Google Play
ilbo
https://play.google.com/store/apps/details?id=jp.extrun.ilbo&hl=ja
App Store
ilbo
https://apps.apple.com/jp/app/ilbo/id1116864683
コメント