カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Adobe Acrobat および Reader の脆弱性 (APSB20-05) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB20-05) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0006
JPCERT/CC
2020-02-12
<<< JPCERT/CC Alert 2020-02-12 >>>
Adobe Acrobat および Reader の脆弱性 (APSB20-05) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200006.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性 (APSB20-05)が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限で任意のコードが実行されたり、情報が窃取されたりするなどの恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security update available for Adobe Acrobat and Reader | APSB20-05
https://helpx.adobe.com/security/products/acrobat/apsb20-05.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.021.20061) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30156) およびそれ以前 (macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30508) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.021.20061) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30156) およびそれ以前 (Windows)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30508) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2020.006.20034) (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30158) (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30510) (Windows, macOS)
– Adobe Acrobat DC Continuous (2020.006.20034) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30158) (Windows, macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30510) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の Adobe Acrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。
Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security update available for Adobe Acrobat and Reader | APSB20-05
https://helpx.adobe.com/security/products/acrobat/apsb20-05.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1830

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
TEL:03-6811-0610  MAIL:
https://www.jpcert.or.jp/

警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

最終更新日: 2020/02/05
警察庁は 2020年1月30日、「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」と題したレポートを公開しました。2019年11月以降から、複数の IoT 機器の脆弱性を標的としたアクセスの増加が観測されており、Mirai亜種の感染を狙った11種類のアクセスなどの観測状況をまとめています。

参考文献 (日本語)

警察庁
複数のIoT機器等の脆弱性を標的としたアクセスの増加等について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200130.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性

最終更新日: 2020/02/05

情報源

Japan Vulnerability Notes JVN#00014057
スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN00014057/

概要

富士ゼロックス株式会社が提供するスマートフォンアプリ「AWMS Mobile」には、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS アプリ「AWMS Mobile」 2.0.0 から 2.0.8 までのバージョン
– Android アプリ「AWMS Mobile」 2.0.0 から 2.0.5 までのバージョン

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供する情報を参照してください。

関連文書 (日本語)

富士ゼロックス株式会社
AWMS Mobile における証明書検証不備およびホスト名検証不備の脆弱性について
https://www.fujixerox.co.jp/support/software/aw_manage_suite/contents/awms2_notice01

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性

最終更新日: 2020/02/05

情報源

Japan Vulnerability Notes JVN#28845872
Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性
https://jvn.jp/jp/JVN28845872/

概要

株式会社 NTTデータが提供する Android アプリ「MyPallete」には、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。
対象となる製品は次のとおりです。

– Android アプリ「MyPallete」
– 「MyPallete」を使用して作成されている一部の金融機関の Android アプリ

この問題は、該当する製品を株式会社 NTTデータや各金融機関が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社 NTTデータや各金融機関が提供する情報を参照してください。

関連文書 (日本語)

株式会社 NTTデータ
Androidアプリ「My Pallete」におけるSSL通信時の脆弱性に関するお知らせ
http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html

株式会社足利銀行

あしぎんアプリにおけるSSL通信時の脆弱性に関するお知らせ
https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf

株式会社池田泉州銀行

当行バンキングアプリにおける脆弱性に関するお知らせ
https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf

株式会社四国銀行

四国銀行アプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.shikokubank.co.jp/info/apps20200128.html

株式会社東北銀行

とうぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html

株式会社長野銀行

ながぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.naganobank.co.jp/soshiki/2/app-ssl.html

株式会社七十七銀行

【重要】七十七銀行アプリにおける脆弱性に関するお知らせ
https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf

株式会社北海道銀行

『どうぎんアプリ』における SSL 通信時の脆弱性の修正に関するお知らせ
https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf

株式会社北陸銀行

『北陸銀行ポータルアプリ』におけるSSL通信時の脆弱性の修正に関するお知らせ
https://www.hokugin.co.jp/info/archives/personal/2020/1913.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

OpenSMTPD に権限昇格と任意コード実行の脆弱性

最終更新日: 2020/02/05

情報源

CERT/CC Vulnerability Note VU#390745
OpenSMTPD vulnerable to local privilege escalation and remote code execution
https://kb.cert.org/vuls/id/390745/

概要

OpenSMTPD には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
– OpenSMTPD 6.4.0 から 6.6.1 までのバージョン
この問題は、OpenSMTPD を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90495537
OpenSMTPD に権限昇格と任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU90495537/

関連文書 (英語)

US-CERT Current Activity
OpenSMTPD Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/02/03/opensmtpd-vulnerability

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

複数の Intel 製品に脆弱性

最終更新日: 2020/02/05

情報源

Japan Vulnerability Notes JVNVU#97139173
Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (Vector Register Sampling、L1D Eviction Sampling)
https://jvn.jp/vu/JVNVU97139173/

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者がサイドチャネル攻撃によってベクトルレジスタ値や L1 データキャッシュの値を推測する可能性があります。
影響を受ける製品は多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。

関連文書 (英語)

Intel
Intel Processors Data Leakage Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00329.html

Intel

IPAS: INTEL-SA-00329
https://blogs.intel.com/technology/2020/01/ipas-intel-sa-00329/#gs.viev5k

Intel

Vector Register Sampling / CVE-2020-0548 / INTEL-SA-00329
https://software.intel.com/security-software-guidance/software-guidance/vector-register-sampling

Intel

L1D Eviction Sampling / CVE-2020-0549 / INTEL-SA-00329
https://software.intel.com/security-software-guidance/software-guidance/l1d-eviction-sampling

Intel

Microcode Update Guidance
https://www.intel.com/content/dam/www/public/us/en/security-advisory/documents/sa00329-microcode-update-guidance.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/02/05

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates

US-CERT Current Activity

Cisco Releases Security Updates for Cisco Small Business Switches
https://www.us-cert.gov/ncas/current-activity/2020/01/30/cisco-releases-security-updates-cisco-small-business-switches

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が情報を窃取するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Cisco Webex Meetings Suite sites 40.1.3 より前のバージョン
– Cisco Webex Meetings Suite sites 39.11.5 より前のバージョン
– Cisco Webex Meetings Online sites 40.1.3 より前のバージョン
– Cisco Webex Meetings Online sites 39.11.5 より前のバージョン
2.5.0.92 より前のファームウエアが稼働する次の製品
– 250 Series Smart Switches
– 350 Series Managed Switches
– 350X Series Stackable Managed Switches

– 550X Series Stackable Managed Switches 1.4.11.4 より前のファームウエアが稼働する次の製品

– 200 Series Smart Switches
– 300 Series Managed Switches

– 500 Series Stackable Managed Switches 1.3.7.18 より前のファームウエアが稼働する次の製品

– 200 Series Smart Switches
– 300 Series Managed Switches
– 500 Series Stackable Managed Switches

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

Cisco Security Advisory

Cisco Small Business Switches Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smlbus-switch-dos-R6VquS2u

Cisco Security Advisory

Cisco Small Business Switches Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200129-smlbus-switch-disclos

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

Magento に複数の脆弱性

最終更新日: 2020/02/05

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Magento
https://www.us-cert.gov/ncas/current-activity/2020/01/31/adobe-releases-security-updates-magento

概要

Magento には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Magento Commerce 2.3.3 およびそれ以前のバージョン
– Magento Commerce 2.2.10 およびそれ以前のバージョン
– Magento Open Source 2.3.3 およびそれ以前のバージョン
– Magento Open Source 2.2.10 およびそれ以前のバージョン
– Magento Enterprise Edition 1.14.4.3 およびそれ以前のバージョン
– Magento Community Edition 1.9.4.3 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (英語)

Adobe
Security Updates Available for Magento | APSB20-02
https://helpx.adobe.com/security/products/magento/apsb20-02.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

複数の Apple 製品に脆弱性

最終更新日: 2020/02/05

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/28/apple-releases-multiple-security-updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– macOS Catalina 10.15.3 より前のバージョン
– macOS Mojave 10.14.6 (Security Update 2020-001 未適用)
– macOS High Sierra 10.13.6 (Security Update 2020-001 未適用)
– iOS 13.3.1 より前のバージョン
– iPadOS 13.3.1 より前のバージョン
– Safari 13.0.5 より前のバージョン
– tvOS 13.3.1 より前のバージョン
– iTunes 12.10.4 for Windows より前のバージョン
– watchOS 6.1.2 より前のバージョン
– iCloud for Windows 10.9.2 より前のバージョン
– iCloud for Windows 7.17 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95678717
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95678717/

Apple

iOS 13.3.1 および iPadOS 13.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210918

Apple

macOS Catalina 10.15.3、セキュリティアップデート 2020-001 Mojave、セキュリティアップデート 2020-001 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210919

Apple

tvOS 13.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210920

Apple

watchOS 6.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210921

Apple

Safari 13.0.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210922

Apple

iTunes for Windows 12.10.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210923

Apple

Windows 用 iCloud 10.9.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210947

Apple

Windows 用 iCloud 7.17 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210948

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html

 

サイバーセキュリティ月間について

最終更新日: 2020/01/29

2月1日から 3月18日は、「サイバーセキュリティ月間」です。昨今、不審メールや情報漏えいなど、サイバーセキュリティに関する問題が多数報じられています。こうした問題に対応していくためにも、日本政府はサイバーセキュリティに関する普及啓発活動として、今年も日本全国各地で様々なイベントの開催やポスター掲示などの取り組みを行います。興味のある方は、是非参加をご検討ください。

参考文献(日本語)

内閣サイバーセキュリティセンター (NISC)

サイバーセキュリティ月間
https://www.nisc.go.jp/security-site/month/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-29」
https://www.jpcert.or.jp/wr/2020/wr200401.html