カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Samba に複数の脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/samba-releases-security-updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.11.3 より前の 4.11 系バージョン
– Samba 4.10.11 より前の 4.10 系バージョン
– Samba 4.9.17 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響を受けるとのことです。
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書 (英語)

The Samba Team
DelegationNotAllowed not being enforced in protocol transition on Samba AD DC.
https://www.samba.org/samba/security/CVE-2019-14870.html

The Samba Team

Samba AD DC zone-named record Denial of Service in DNS management server (dnsserver)
https://www.samba.org/samba/security/CVE-2019-14861.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

WordPress に複数の脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
WordPress Releases Security and Maintenance Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/13/wordpress-releases-security-and-maintenance-updates

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユーザのウェブブラウザ上で、任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– WordPress 5.3.1 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

関連文書 (英語)

WordPress
WordPress 5.3.1 Security and Maintenance Release
https://wordpress.org/news/2019/12/wordpress-5-3-1-security-and-maintenance-release/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

複数の Intel 製品に脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#93632155

Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93632155/

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇格するなどの可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intelが提供するアドバイザリ情報を参照してください。

– Google Chrome 79.0.3945.79 より前のバージョン

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019121102.html

関連文書 (英語)

Intel
INTEL-SA-00230: Intel Dynamic Platform and Thermal Framework Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00230.html

Intel

INTEL-SA-00237: Linux Administrative Tools for Intel Network Adapters Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00237.html

Intel

INTEL-SA-00253: Intel Ethernet I218 Adapter Driver for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00253.html

Intel

INTEL-SA-00284: Intel FPGA SDK for OpenCL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00284.html

Intel

INTEL-SA-00289: Intel Processors Voltage Settings Modification Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html

Intel

INTEL-SA-00299: Control Center-I Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00299.html

Intel

INTEL-SA-00311: Intel Quartus Prime Pro Edition Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00311.html

Intel

INTEL-SA-00312: Intel SCS Platform Discovery Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00312.html

Intel

INTEL-SA-00317: Unexpected Page Fault in Virtualized Environment Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00317.html

Intel

INTEL-SA-00323: Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00323.html

Intel

INTEL-SA-00324: Intel RST Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00324.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

Google Chrome に複数の脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/12/10/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 79.0.3945.79 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS)

– Adobe Acrobat DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30155) およびそれ以前のバージョン (macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS)
– Adobe Photoshop CC 20.0.7 およびそれ以前のバージョン (Windows, macOS)
– Adobe Photoshop CC 21.0.1 およびそれ以前のバージョン (Windows, macOS)
– Adobe Brackets 1.14 およびそれ以前のバージョン (Windows, Linux, macOS)
– Adobe ColdFusion 2018 アップデート 6 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-55
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-55.html

Adobe

Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-56
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-56.html

Adobe

Brackets に関するセキュリティアップデート公開 | APSB19-57
https://helpx.adobe.com/jp/security/products/brackets/apsb19-57.html

Adobe

ColdFusion に関するセキュリティアップデート公開 | APSB19-58
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-58.html

JPCERT/CC 注意喚起

Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190045.html

JPCERT/CC CyberNewsFlash

複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019121101.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

複数の Apple 製品に脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/apple-releases-multiple-security-updates

Japan Vulnerability Notes JVNVU#99404393

複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99404393/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 13.3 より前のバージョン
– iOS 12.4.4 より前のバージョン
– iPadOS 13.3 より前のバージョン
– macOS Catalina 10.15.2 より前のバージョン
– macOS Mojave 10.14.6 (Security Update 2019-002 未適用)
– macOS High Sierra 10.13.6 (Security Update 2019-007 未適用)
– watchOS 6.1.1 より前のバージョン
– watchOS 5.3.4 より前のバージョン
– tvOS 13.3 より前のバージョン
– Safari 13.0.4 より前のバージョン
– Xcode 11.3 より前のバージョン
– iTunes for Windows 12.10.3 より前のバージョン
– iCloud for Windows 7.16 (AAS 8.2 付属) より前のバージョン
– iCloud for Windows 10.9 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
iOS 13.3 および iPadOS 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210785

Apple

iOS 12.4.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210787

Apple

macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210788

Apple

watchOS 6.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210789

Apple

watchOS 5.3.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210791

Apple

tvOS 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210790

Apple

Safari 13.0.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210792

Apple

Xcode 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210796

Apple

iTunes for Windows 12.10.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210793

Apple

Windows 用 iCloud 7.16 (AAS 8.2 付属) のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210795

Apple

Windows 用 iCloud 10.9 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210794

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2019/12/18

情報源

US-CERT Current Activity
Microsoft Releases December 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/10/microsoft-releases-december-2019-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Internet Explorer
– Microsoft Office、Microsoft Office Services および Web Apps
– SQL Server
– Visual Studio
– Skype for Business

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec

JPCERT/CC 注意喚起

2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190046.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html

 

2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0046
JPCERT/CC
2019-12-11
<<< JPCERT/CC Alert 2019-12-11 >>>
2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190046.html

I.概要

マイクロソフトから 2019年12月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2019 年 12 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

CVE-2019-1349

Git for Visual Studio のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1349
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2019-1350

Git for Visual Studio のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1350
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2019-1352

Git for Visual Studio のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1352
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2019-1354

Git for Visual Studio のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1354
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2019-1387

Git for Visual Studio のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1387
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2019-1468

Win32k Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1468
– KB4530681, KB4530684, KB4530689, KB4530691, KB4530692, KB4530695

KB4530698, KB4530702, KB4530714, KB4530715, KB4530717, KB4530719
KB4530730, KB4530734
CVE-2019-1471

Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1471
– KB4530684, KB4530715, KB4530717

なお、マイクロソフトによると、CVE-2019-1458 (重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2019 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec

マイクロソフト株式会社

2019 年 12 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2019/12/10/201912-security-updates/

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6811-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/

Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0045
JPCERT/CC
2019-12-11
<<< JPCERT/CC Alert 2019-12-11 >>>
Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190045.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限で任意のコードが実行されたり、情報が窃取されたりするなどの恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security update available for Adobe Acrobat and Reader | APSB19-55
https://helpx.adobe.com/security/products/acrobat/apsb19-55.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.021.20056) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30152) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30505) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.021.20056) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30152) およびそれ以前 (Windows)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30155) およびそれ以前 (macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30505) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2019.021.20058) (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30156) (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30508) (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.021.20058) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30156) (Windows, macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30508) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeAcrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。
Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security update available for Adobe Acrobat and Reader | APSB19-55
https://helpx.adobe.com/security/products/acrobat/apsb19-55.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1813

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6811-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/

長期休暇に備えて 2019/12

最終更新日: 2019/12/11
2019年12月5日(木)、JPCERT/CC は「長期休暇に備えて 2019/12」を公開しました。この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントや、観測した攻撃事案を例に挙げ、インシデント発生の予防および緊急時の対応に関して、対策などの要点をまとめて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュリティ対策を今一度ご確認ください。

参考文献(日本語)

JPCERT/CC

長期休暇に備えて 2019/12
https://www.jpcert.or.jp/newsflash/2019120501.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-11」
https://www.jpcert.or.jp/wr/2019/wr194801.html