複数の Microsoft 製品に脆弱性

最終更新日: 2020/10/21

情報源

CISA Current Activity
Microsoft Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/microsoft-releases-october-2020-security-updates

CISA Current Activity

Microsoft Addresses Windows TCP/IP RCE/DoS Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/microsoft-addresses-windows-tcpip-rcedos-vulnerability

CISA Current Activity

Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Microsoft Office、Microsoft Office Services および Web Apps
– Microsoft Jet データベース エンジン
– Azure Functions
– オープン ソース ソフトウェア
– Microsoft Exchange Server
– Visual Studio
– PowerShellGet
– Microsoft .NET Framework
– Microsoft Dynamics
– Adobe Flash Player
– Microsoft Windows Codecs Library
– Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Oct

マイクロソフト株式会社

CVE-2020-17022 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17022

マイクロソフト株式会社

CVE-2020-17023 | Visual Studio JSON のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17023

JPCERT/CC 注意喚起

2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200038.html

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起

 JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起」をお知らせします。

各位
JPCERT-AT-2020-0039
JPCERT/CC
2020-10-14
<<< JPCERT/CC Alert 2020-10-14 >>>
Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200039.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB20-58) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、第三者によって、実行中のユーザ権限で任意のコードが実行される恐れがあります。
脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ

Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前 (Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前 (Windows 10 および Windows 8.1)
お使いの Adobe Flash Player のバージョンは、次のページで確認できます。
Flash Player ヘルプ

https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (32.0.0.445) (Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.445) (Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.445) (Windows 10 および Windows 8.1)
Adobe Flash Player ダウンロード

https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次の製品については、アドビ以外の配布元より Adobe Flash Player のアップデートが提供されます。
– Microsoft Windows 10

– Microsoft Windows 8.1
– Google Chrome

マイクロソフト社からは、Windows Update などで最新の Adobe Flash Playerが更新プログラムとして提供されます。
ADV200012 | 2020 年 10 月の Adobe Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200012

なお、ブラウザ以外にも Microsoft Office のように、Adobe Flash Player を使用するソフトウエアがあります。ブラウザにて Adobe Flash Player を使用していない場合などでも、アップデートを行ってください。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、Flash を無効にしたり、Flash を使用したコンテンツの表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– 信頼できない Flash コンテンツを表示しない

ブラウザ上で Flash を無効に設定してください。または、Click-to-Play 機能を有効にしてください。Microsoft Office では保護モードを有効とすることで影響を回避することができます。

V. 参考情報

アドビシステムズ
Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

アドビシステムズ

Security Updates Available for Adobe Flash Player (APSB20-58)
https://blogs.adobe.com/psirt/?p=1925

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-JP/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

マイクロソフト株式会社

ADV200012 | 2020 年 10 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200012

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。

各位
JPCERT-AT-2020-0038
JPCERT/CC
2020-10-14
<<< JPCERT/CC Alert 2020-10-14 >>>
2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200038.html

I.概要

マイクロソフトから 2020年10月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。

脆弱性の詳細は、次の URL を参照してください。
2020 年 10 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Oct

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。
※ 同一の脆弱性において、複数の KB に及ぶ場合には、それぞれを記載します。

CVE-2020-16891

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16891

– KB4577668, KB4577671, KB4579311, KB4580327, KB4580328, KB4580330
KB4580345, KB4580346, KB4580347, KB4580353, KB4580358, KB4580378
KB4580382, KB4580385, KB4580387
CVE-2020-16898

Windows TCP/IP のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16898
– KB4577668, KB4577671, KB4579311, KB4580328, KB4580330

CVE-2020-16911

GDI+ のリモート コードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16911

– KB4577668, KB4577671, KB4579311, KB4580327, KB4580328, KB4580330
KB4580346, KB4580347, KB4580353, KB4580358, KB4580382
CVE-2020-16915

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16915
– KB4577668, KB4577671, KB4579311, KB4580328, KB4580330, KB4580346

CVE-2020-16923

Microsoft Graphics コンポーネントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16923

– KB4577668, KB4577671, KB4579311, KB4580327, KB4580328, KB4580330
KB4580345, KB4580346, KB4580347, KB4580353, KB4580358, KB4580378
KB4580382, KB4580385, KB4580387
CVE-2020-16947

Microsoft Outlook のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16947
– KB4486671

CVE-2020-16951

Microsoft SharePoint のリモート コードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16951
– KB4486676, KB4486677, KB4486694

CVE-2020-16952

Microsoft SharePoint のリモート コードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16952
– KB4486676, KB4486677, KB4486694

CVE-2020-16967

Windows Camera Codec Pack のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16967

– KB4577668, KB4577671, KB4579311, KB4580327, KB4580328, KB4580330
KB4580346
CVE-2020-16968

Windows Camera Codec Pack のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16968

– KB4577668, KB4577671, KB4579311, KB4580327, KB4580328, KB4580330
KB4580346
CVE-2020-17003

Base3D のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17003
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

なお、2020年10月13日 (米国時間) をもって、Office 2010、Office 2016 for Mac のサポートが終了しました。サポートが終了した製品について、今後マイクロソフトからテクニカルサポート、バグ修正、セキュリティの修正プログラムは提供されません。対象の製品をご利用の場合、アップグレード等をご検討ください。
マイクロソフト株式会社

2020 年 10 月 13 日に Office 2010 の延長サポートが終了しました !
https://www.microsoft.com/ja-jp/atlife/article-office2010-eos.aspx

マイクロソフト株式会社

Office のバージョンと Office 365 サービスへの接続
https://docs.microsoft.com/ja-jp/deployoffice/endofsupport/office-365-services-connectivity

マイクロソフト株式会社

Office 2016 for Mac のサポートの終了
https://support.microsoft.com/ja-jp/office/office-2016-for-mac-%E3%81%AE%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E7%B5%82%E4%BA%86-e944a907-bbc8-4be5-918d-a514068d0056

マイクロソフト株式会社

Exchange 2010 のサポート終了のロードマップ
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/exchange-2010-end-of-support

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update カタログ

https://www.catalog.update.microsoft.com/

Windows Update:よくあるご質問

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2020 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Oct

マイクロソフト株式会社

2020 年 10 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/10/13/202010-security-updates/

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

最終更新日: 2020/10/14

2020年10月1日、警察庁は、「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」と題してレポートを公開しました。新型コロナウイルス感染症の発生に乗じたものを含め、令和2年上半期のサイバー攻撃の事例について解説しています。

参考文献 (日本語)

警察庁
令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

QNAP Helpdesk に複数の脆弱性

最終更新日: 2020/10/14

情報源

CISA Current Activity
QNAP Releases Security Updates for QNAP Helpdesk
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/qnap-releases-security-updates-qnap-helpdesk

概要

QNAP に搭載されているアプリ Helpdesk には、複数の脆弱性があります。結果として、第三者が当該アプリを搭載する機器を制御する可能性があります。
対象となるバージョンは次のとおりです。
– Helpdesk 3.0.3 より前のバージョン
この問題は、Helpdesk を QNAP Systems が提供する修正済みのバージョンに更新することで解決します。詳細は、QNAP Systems が提供する情報を参照してください。

関連文書(英語)

QNAP Systems

Multiple Vulnerabilities in Helpdesk
https://www.qnap.com/en/security-advisory/QSA-20-08

QNAP Systems

Helpdesk 3.0.3
https://www.qnap.com/en/app_releasenotes/list.php?app_choose=helpdesk

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/10/14

情報源

CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、認証された遠隔の第三者が設定の一部を変更するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco

Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性

最終更新日: 2020/10/14

情報源

Japan Vulnerability Notes JVNVU#95014999
トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU95014999/

概要

トレンドマイクロ株式会社製のウイルスバスター for Mac には、権限昇格の脆弱性があります。結果として、当該製品にアクセス可能な第三者が、不正なシンボリックリンクを作成し、任意のファイルやフォルダを削除する可能性があります。
対象となるバージョンは次のとおりです。

– ウイルスバスター for Mac バージョン 9.0
– ウイルスバスター for Mac バージョン 10.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。なお、9.0 系バージョンへのアップデートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書(日本語)

トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09912

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性

最終更新日: 2020/10/14

情報源

Japan Vulnerability Note JVN#82892096
複数のエレコム製 LAN ルーターにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN82892096/

概要

複数のエレコム製 LAN ルーターには、OS コマンドインジェクションの脆弱性があります。結果として、管理画面にアクセス可能な第三者が、root 権限で任意の OS コマンドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。

– WRC-2533GST2 ファームウェア v1.14 より前のバージョン
– WRC-1900GST2 ファームウェア v1.14 より前のバージョン
– WRC-1750GST2 ファームウェア v1.14 より前のバージョン
– WRC-1167GST2 ファームウェア v1.10 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(日本語)

エレコム株式会社

一部無線LANルーターにおけるOSコマンドインジェクションの脆弱性に関して
https://www.elecom.co.jp/news/security/20201005-01/

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/10/14

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 86.0.4240.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-14」
https://www.jpcert.or.jp/wr/2020/wr204001.html

 

経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開

最終更新日: 2020/10/07

2020年9月30日、経済産業省は「サイバーセキュリティ体制構築・人材確保の手引き」を公開しました。本手引きは企業がサイバーセキュリティ経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するための要点がまとめられています。企業内の経営層から人事担当者、実務者など様々な立場ごとの観点が整理されています。

参考文献 (日本語)

経済産業省
『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました
https://www.meti.go.jp/press/2020/09/20200930004/20200930004.html

 


引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html