ミニ・いんふぉめーしょん

目 次 

【1】複数の Apple 製品に脆弱性
【2】Adobe Type Manager Library にリモートコード実行の脆弱性
【3】Adobe Creative Cloud デスクトップアプリケーションに Time-of-check Time-of-use (TOCTOU) 競合状態に関する脆弱性
【今週のひとくちメモ】JPCERT/CC 「ビジネスメール詐欺の実態調査報告書」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201301.html
https://www.jpcert.or.jp/wr/2020/wr201301.xml
============================================================================

【1】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/25/apple-releases-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iCloud for Windows 7.18 より前のバージョン
- iCloud for Windows 10.9.3 より前のバージョン
- iTunes 12.10.5 for Windows より前のバージョン
- iOS 13.4 より前のバージョン
- iPadOS 13.4 より前のバージョン
- Safari 13.1 より前のバージョン
- watchOS 6.2 より前のバージョン
- tvOS 13.4 より前のバージョン
- macOS Catalina 10.15.4 より前のバージョン
- macOS Mojave 10.14.6 (Security Update 2020-002 未適用)
- macOS High Sierra 10.13.6 (Security Update 2020-002 未適用)
- Xcode 11.4 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96545608
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96545608/

関連文書 (英語)
Apple
About the security content of iCloud for Windows 7.18
https://support.apple.com/en-us/HT211107

Apple
About the security content of iCloud for Windows 10.9.3
https://support.apple.com/en-us/HT211106

Apple
About the security content of iTunes 12.10.5 for Windows
https://support.apple.com/en-us/HT211105

Apple
About the security content of iOS 13.4 and iPadOS 13.4
https://support.apple.com/en-us/HT211102

Apple
About the security content of Safari 13.1
https://support.apple.com/en-us/HT211104

Apple
About the security content of watchOS 6.2
https://support.apple.com/en-us/HT211103

Apple
About the security content of tvOS 13.4
https://support.apple.com/en-us/HT211101

Apple
About the security content of macOS Catalina 10.15.4, Security Update 2020-002 Mojave, Security Update 2020-002 High Sierra
https://support.apple.com/en-us/HT211100

Apple
About the security content of Xcode 11.4
https://support.apple.com/en-us/HT211108

【2】Adobe Type Manager Library にリモートコード実行の脆弱性

情報源
CERT/CC Vulnerability Note VU#354840
Microsoft Windows Type 1 font parsing remote code execution vulnerabilities
https://kb.cert.org/vuls/id/354840/

概要
Adobe Type Manager Library には、Adobe Type 1 フォント形式を不適切に処
理することによるリモートコード実行の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows 7
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2008

この問題は、以下の回避策を適用することで、本脆弱性の影響を軽減すること
ができます。詳細は、Microsoft が提供する情報を参照してください。なお
Windows 10 については、遠隔からの任意のコード実行が成功する可能性は低
く、特権への昇格もできないことから、Windows 10 を使用している場合、回
避策の実施は推奨しないとのことです。

- Windows エクスプローラーのプレビュー ウィンドウと詳細ウィンドウを無効にする
- WebClient サービスを無効にする
- ATMFD.DLL の名前を変更する

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95854306
Adobe Type Manager Library におけるリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU95854306/

JPCERT/CC 注意喚起
Adobe Type Manager ライブラリ の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200015.html

マイクロソフト株式会社
ADV200006 | Type 1 フォント解析のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/adv200006

関連文書 (英語)
US-CERT Current Activity
Microsoft RCE Vulnerabilities Affecting Windows, Windows Server
https://www.us-cert.gov/ncas/current-activity/2020/03/23/microsoft-rce-vulnerabilities-affecting-windows-windows-server

【3】Adobe Creative Cloud デスクトップアプリケーションに Time-of-check Time-of-use (TOCTOU) 競合状態に関する脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Update for Creative Cloud Desktop Application
https://www.us-cert.gov/ncas/current-activity/2020/03/25/adobe-releases-security-update-creative-cloud-desktop-application

概要
Creative Cloud デスクトップアプリケーションには、Time-of-check Time-of-use
(TOCTOU) 競合状態に関する脆弱性があります。結果として、遠隔の第三者が
任意のファイルを削除するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Creative Cloud デスクトップアプリケーション 5.0 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (英語)
Adobe
Security update available for Creative Cloud Desktop Application | APSB20-11
https://helpx.adobe.com/security/products/creative-cloud/apsb20-11.html