セキュリティ情報 – ページ 17

スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題

最終更新日: 2020/11/11

情報源

Japan Vulnerability Notes JVN#00414047
スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題
https://jvn.jp/jp/JVN00414047/

概要

スタディプラス株式会社が提供するスマートフォンアプリ「Studyplus(スタディプラス)」には、外部サービスの API キーがハードコードされている問題があります。結果として、第三者がアプリ内のデータを解析し、外部サービスと連携するための API キーを不正に窃取する可能性があります。

対象となるバージョンは次のとおりです。

– Android アプリ「Studyplus(スタディプラス)」 v6.3.7 およびそれ以前
– iOS アプリ「Studyplus(スタディプラス)」 v8.29.0 およびそれ以前

この問題は、開発者によって修正されており、開発者は最新のバージョンに更新することを推奨しています。詳細は、開発者が提供する情報を参照してください。

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-11」
https://www.jpcert.or.jp/wr/2020/wr204401.html

三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性

最終更新日: 2020/11/11

情報源

Japan Vulnerability Notes JVNVU#99562395
三菱電機製 GOT1000 シリーズ GT14 モデルにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99562395/

概要

三菱電機株式会社が提供する GOT1000 シリーズ GT14 モデルの TCP/IP スタックには、複数の脆弱性があります。結果として、第三者が細工したパケットを送信することで、当該製品のネットワーク機能を停止したり、悪意あるプログラムを実行したりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

下記製品の CoreOS バージョン 05.65.00.BD およびそれ以前
– GT1455-QTBDE
– GT1450-QMBDE
– GT1450-QLBDE
– GT1455HS-QTBDE
– GT1450HS-QMBDE

この問題は、CoreOS を三菱電機株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参照してください。

情報源

Japan Vulnerability Notes JVN#57942454
サイボウズ Garoon における不適切な入力確認の脆弱性
https://jvn.jp/jp/JVN57942454/

概要

サイボウズ株式会社が提供するサイボウズ Garoon には、不適切な入力確認の脆弱性があります。結果として、当該製品にログイン可能なユーザが掲示板に関するデータの一部を削除するなどの可能性があります。

対象となるバージョンは次のとおりです。

– サイボウズ Garoon 5.0.0 から 5.0.2 まで

この問題は、サイボウズ Garoon をバージョン 5.0.2 に更新後、サイボウズが提供するパッチを適用することで解決します。詳細は、サイボウズが提供する情報を参照してください。

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/05/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

Adobe Acrobat および Reader に複数の脆弱性

最終更新日: 2020/11/11

情報源

CISA Current Activity
Adobe Releases Security Updates for Acrobat and Reader
https://us-cert.cisa.gov/ncas/current-activity/2020/11/04/adobe-releases-security-updates-acrobat-and-reader

概要

Adobe Acrobat および Reader には、複数の脆弱性があります。第三者が任意コードの実行をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Adobe Acrobat DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)

この問題は、Adobe Acrobat および Reader を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

複数の Apple 製品に脆弱性

最終更新日: 2020/11/11

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products

Japan Vulnerability Notes JVNVU#99462952

複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99462952/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Apple が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

Google Chrome に複数の脆弱性

最終更新日: 2020/11/11

情報源

CISA Current Activity
Google Releases Security Updates for Chrome, CVE-2020-16009
https://us-cert.cisa.gov/ncas/current-activity/2020/11/03/google-releases-security-updates-chrome-cve-2020-16009

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

– Google Chrome 86.0.4240.183 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

IPA が「サイバー情報共有イニシアティブ（J-CSIP）運用状況［2020年7月～9月］」を公開

最終更新日: 2020/11/05

2020年10月29日、情報処理推進機構 (IPA) は、国内重要産業におけるサイバー攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」 (J-CSIP) のレポートを公開しました。本レポートでは、2020年9月末時点の運用体制、2020年7月～9月の運用状況に加え、把握分析した攻撃事例や動向等について解説しています。

参考文献 (日本語)

情報処理推進機構 (IPA)
サイバー情報共有イニシアティブ（J-CSIP）運用状況［2020年7月～9月］
https://www.ipa.go.jp/files/000086549.pdf

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-05」
https://www.jpcert.or.jp/wr/2020/wr204301.html

Wireshark にサービス運用妨害 (DoS) の脆弱性

最終更新日: 2020/11/05

情報源

Wireshark Foundation
Wireshark 3.4.0 and 3.2.8 Released
https://www.wireshark.org/news/20201029.html

概要

Wireshark には、サービス運用妨害 (DoS) 攻撃が可能な脆弱性があります。

対象となるバージョンは次のとおりです。

– Wireshark 3.2.8 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Wireshark Foundation が提供する情報を参照してください。

WordPress に複数の脆弱性

最終更新日: 2020/11/05

情報源

WordPress
WordPress 5.5.2 Security and Maintenance Release
https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– WordPress 5.5.2 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

カテゴリー: セキュリティ情報

スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題

情報源

概要

三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性

情報源

概要

関連文書（日本語）

サイボウズ Garoon に不適切な入力確認の脆弱性

情報源

概要

関連文書（日本語）

複数の Cisco 製品に脆弱性

情報源

概要

関連文書（英語）

Adobe Acrobat および Reader に複数の脆弱性

情報源

概要

関連文書（日本語）

複数の Apple 製品に脆弱性

情報源

概要

関連文書（日本語）

Google Chrome に複数の脆弱性

情報源

概要

関連文書（英語）

IPA が「サイバー情報共有イニシアティブ（J-CSIP）運用状況［2020年7月～9月］」を公開

参考文献 (日本語)

Wireshark にサービス運用妨害 (DoS) の脆弱性

情報源

概要

関連文書 (英語)

WordPress に複数の脆弱性

情報源

概要

関連文書 (日本語)