セキュリティ情報 – ページ 34

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/mozilla-releases-security-updates-multiple-products

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 73 より前のバージョン

– Mozilla Firefox ESR 68.5 より前のバージョン
– Mozilla Thunderbird 68.5 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#96221887

Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU96221887

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intelが提供するアドバイザリ情報を参照してください。

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となる製品は次のとおりです。

– Adobe Framemaker
– Adobe Acrobat DC Continuous
– Adobe Acrobat 2017 Classic 2017
– Adobe Acrobat 2015 Classic 2015
– Adobe Acrobat Reader DC Continuous
– Adobe Acrobat Reader 2017 Classic 2017
– Adobe Acrobat Reader 2015 Classic 2015
– Adobe Flash Player Desktop Runtime
– Adobe Flash Player for Google Chrome
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11
– Adobe Digital Editions
– Adobe Experience Manager

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

複数の Microsoft 製品に脆弱性

最終更新日: 2020/02/19

情報源

US-CERT Current Activity
Microsoft Releases February 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/microsoft-releases-february-2020-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

– Microsoft Windows
– Microsoft Edge (EdgeHTML ベース)
– Microsoft Edge (Chromium ベース)
– ChakraCore
– Internet Explorer
– Microsoft Exchange Server
– Microsoft SQL Server
– Microsoft Office、Microsoft Office Services および Web Apps
– Windows 悪意のあるソフトウェアの削除ツール
– Windows Surface Hub

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

Movable Type にクロスサイトスクリプティングの脆弱性

最終更新日: 2020/02/13

情報源

Japan Vulnerability Notes JVN#94435544
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN94435544/

概要

Movable Type には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Movable Type 7 r.4603 およびそれ以前 (Movable Type 7 系)
– Movable Type 6.5.2 およびそれ以前 (Movable Type 6.5 系)
– Movable Type Advanced 7 r.4603 およびそれ以前 (Movable Type Advanced 7 系)
– Movable Type Advanced 6.5.2 およびそれ以前 (Movable Type Advanced 6.5 系)
– Movable Type Premium 1.26 およびそれ以前
– Movable Type Premium Advanced 1.26 およびそれ以前

この問題は、Movable Type をシックス・アパート株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、シックス・アパート株式会社が提供する情報を参照してください。

Ghostscript にアクセス制限回避の脆弱性

最終更新日: 2020/02/13

情報源

Japan Vulnerability Notes JVN#52486659
Ghostscript におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN52486659/

概要

Ghostscript には、アクセス制限回避の脆弱性があります。結果として、遠隔の第三者が、細工したファイルを Ghostscript で実行し、Ghostscript の権限で任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Ghostscript 9.27 およびそれ以前のバージョン

この問題は、Ghostscript を Artifex Software, Inc. が提供する修正済みのバージョンに更新することで解決します。詳細は、Artifex Software, Inc.が提供する情報を参照してください。

Google Chrome に複数の脆弱性

最終更新日: 2020/02/13

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/02/05/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

– Chrome 80.0.3987.87 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

複数の Cisco 製品に脆弱性

最終更新日: 2020/02/13

情報源

CERT/CC Vulnerability Note VU#261385
Cisco Discovery Protocol (CDP) enabled devices are vulnerable to denial-of-service and remote code execution
https://kb.cert.org/vuls/id/261385/

概要

複数の Cisco 製品には、脆弱性があります。結果として、第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは、多岐に渡ります。詳細は Cisco が提供するアドバイザリ情報を参照してください。

2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起

　JPCERT/CCからの「2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。

各位

JPCERT-AT-2020-0008
JPCERT/CC
2020-02-12

<<< JPCERT/CC Alert 2020-02-12 >>>
2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200008.html

I.概要

マイクロソフトから 2020年2月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。

2020 年 2 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Feb

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

CVE-2020-0662

Windows のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0662

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789
KB4537794, KB4537803, KB4537810, KB4537813, KB4537814, KB4537820
KB4537821, KB4537822

CVE-2020-0673

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0673

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537767, KB4537776
KB4537789, KB4537820, KB4537821

CVE-2020-0674

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0674

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537767, KB4537776
KB4537789, KB4537820, KB4537821

CVE-2020-0681

リモートデスクトップクライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0681

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789
KB4537794, KB4537803, KB4537810, KB4537813, KB4537814, KB4537820
KB4537821, KB4537822

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0710
– KB4532691, KB4532693, KB4537762, KB4537764, KB4537789

CVE-2020-0711

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0711
– KB4532691, KB4532693, KB4537762

CVE-2020-0712

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0712
– KB4532691, KB4532693, KB4537762, KB4537764, KB4537789

CVE-2020-0713

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0713
– KB4532691, KB4532693, KB4537762, KB4537764, KB4537789

CVE-2020-0729

LNK のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0729

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789
KB4537794, KB4537803, KB4537810, KB4537813, KB4537814, KB4537820
KB4537821, KB4537822

CVE-2020-0734

リモートデスクトップクライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0734

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789
KB4537794, KB4537803, KB4537813, KB4537814, KB4537820, KB4537821

CVE-2020-0738

メディアファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0738

– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789
KB4537794, KB4537803, KB4537813, KB4537814, KB4537820, KB4537821

CVE-2020-0767

スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0767
– KB4532691, KB4532693, KB4537762, KB4537764, KB4537776, KB4537789

なお、当月修正された脆弱性には、2020年1月17日 (米国時間) に公開されたMicrosoft Internet Explorer の脆弱性 (CVE-2020-0674) が含まれています。

既に悪用が確認されている脆弱性であるため、セキュリティ更新プログラムの早期の適用をご検討ください。

JPCERT/CC

Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2020 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Feb

マイクロソフト株式会社

2020 年 2 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/02/11/202002-security-updates/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
TEL:03-6811-0610 MAIL:
https://www.jpcert.or.jp/

Adobe Flash Player の脆弱性 (APSB20-06) に関する注意喚起

　JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB20-06) に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2020-0007
JPCERT/CC
2020-02-12

<<< JPCERT/CC Alert 2020-02-12 >>>
Adobe Flash Player の脆弱性 (APSB20-06) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200007.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB20-06) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、第三者によって、実行中のユーザ権限で任意のコードが実行される恐れがあります。
脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security Bulletin for Adobe Flash Player | APSB20-06
https://helpx.adobe.com/security/products/flash-player/apsb20-06.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (32.0.0.321) およびそれ以前 (Windows, macOS)

– Adobe Flash Player Desktop Runtime (32.0.0.314) およびそれ以前 (Linux)

– Adobe Flash Player for Google Chrome (32.0.0.321) およびそれ以前 (Windows, macOS, Linux および Chrome OS)

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.255) およびそれ以前 (Windows 10 および Windows 8.1)

お使いの Adobe Flash Player のバージョンは、次のページで確認できます。

Flash Player ヘルプ

https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (32.0.0.330) (Windows, macOS および Linux)

– Adobe Flash Player for Google Chrome (32.0.0.330) (Windows, macOS, Linux および Chrome OS)

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.330) (Windows 10 および Windows 8.1)

Adobe Flash Player ダウンロード

https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次の製品については、アドビ以外の配布元より Adobe Flash Player のアップデートが提供されます。

– Microsoft Windows 10

– Microsoft Windows 8.1
– Google Chrome

マイクロソフト社からは、Windows Update などで最新の Adobe Flash Playerが更新プログラムとして提供されます。

ADV200003 | 2020 年 2 月の Adobe Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200003

なお、ブラウザ以外にも Microsoft Office のように、Adobe Flash Player を使用するソフトウエアがあります。ブラウザにて Adobe Flash Player を使用していない場合などでも、アップデートを行ってください。

IV.回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、Flash を無効にしたり、Flash を使用したコンテンツの表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– 信頼できない Flash コンテンツを表示しない

ブラウザ上で Flash を無効に設定してください。または、Click-to-Play 機能を有効にしてください。Microsoft Office では保護モードを有効とすることで影響を回避することができます。

V. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Flash Player | APSB20-06
https://helpx.adobe.com/security/products/flash-player/apsb20-06.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1830

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-JP/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

マイクロソフト株式会社

ADV200003 | 2020 年 2 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200003

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
TEL:03-6811-0610 MAIL:
https://www.jpcert.or.jp/

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書（日本語）

情報源

概要

関連文書（英語）

情報源

概要

関連文書（英語）

情報源

概要

関連文書 (日本語)

関連文書（英語）

I.概要

II.対策

III.参考情報

I.概要

II.対象

III.対策

IV.回避策

V. 参考情報