カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Google Chrome に複数の脆弱性

最終更新日: 2019/11/27

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/11/19/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 78.0.3904.108 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop_18.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-27」
https://www.jpcert.or.jp/wr/2019/wr194601.html

ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

最終更新日: 2019/11/27

情報源

US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2019/11/21/isc-releases-security-advisory-bind

概要

ISC BIND には、TCP クライアントの同時接続数の制限を迂回し、システムリソースを過度に消費できる脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。

– BIND 9.14.1 から 9.14.7 まで
– BIND 9.12.4-P1 から 9.12.4-P2 まで
– BIND 9.11.6-P1 から 9.11.12 まで
– BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

なお、ISC によると開発版の BIND 9.15 系についても影響を受けます。またBIND 9.11.0 より前のバージョンは、本脆弱性の検証対象外とのことです。
この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

Japan Vulnerability Notes JVNVU#98706074

ISC BIND にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU98706074/

JPCERT/CC 注意喚起

ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

関連文書(英語)

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-27」
https://www.jpcert.or.jp/wr/2019/wr194601.html

ISC BIND 9 の脆弱性に関する注意喚起

 JPCERT/CCからの「ISC BIND 9 の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0043
JPCERT/CC
2019-11-21
<<< JPCERT/CC Alert 2019-11-21 >>>
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

I.概要

ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを過度に消費し、結果として named が一時的に停止したり、サービスの品質の低下が発生する可能性があります。
なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II.対象

脆弱性の影響を受けるバージョンは次のとおりです。

– BIND 9.14系 9.14.1 から 9.14.7 まで

– BIND 9.12系 9.12.4-P1 から 9.12.4-P2 まで
– BIND 9.11系 9.11.6-P1 から 9.11.12 まで
– BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。 なお、ISC によると BIND 9.10系以前のサポートが終了しているバージョンについて当該脆弱性の影響の有無は評価されていないとのことです。

III. 対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.13

– BIND 9.14.8
– BIND Supported Preview Edition version 9.11.13-S1

また、以下の設定によって、サーバの TCP パイプラインを無効化することで、本脆弱性の影響を回避することができます。ただし、’reload’ や ‘reconfig’ ではなく、BIND を再起動する必要があります。
keep-response-order { any; };

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について
(CVE-2019-6477) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6271-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/

複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性

最終更新日: 2019/11/21

情報源

Japan Vulnerability Notes JVNVU#97094124
三菱電機製 MELSEC-Qシリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能にリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU97094124/

概要

三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットおよび MELSEC-Lシリーズ CPU ユニットの FTP サーバ機能には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。

MELSEC-Q シリーズ CPU ユニット
– Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
– Q03/04/06/13/26UDVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
– Q04/06/13/26UDPVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)

MELSEC-L シリーズ CPU ユニット

– L02/06/26CPU, L26CPU-BT (シリアル番号の上位5桁が 21101 およびそれ以前)
– L02/06/26CPU-P, L26CPU-PBT (シリアル番号の上位5桁が 21101 およびそれ以前)
– L02/06/26CPU-CM, L26CPU-BT-CM (シリアル番号の上位5桁が 21101 およびそれ以前)

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョンに更新することで解決します。詳細については、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)

三菱電機株式会社
MELSEC-QシリーズCPU、およびMELSEC-LシリーズCPUにおけるFTPサーバ機能の脆弱性 (PDF)
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-002.pdf

関連文書 (英語)

ICS Advisory (ICSA-19-311-01)
Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules
https://www.us-cert.gov/ics/advisories/icsa-19-311-01

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

Movable Type にオープンリダイレクトの脆弱性

最終更新日: 2019/11/21

情報源

Japan Vulnerability Notes JVN#65280626
Movable Type におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN65280626

概要

シックス・アパート株式会社が提供する Movable Type には、オープンリダイレクトの脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Movable Type 7 r.4602 およびそれ以前 (Movable Type 7系)
– Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系)
– Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
– Movable Type Advanced 7 r.4602 およびそれ以前 (Movable Type 7系)
– Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系)
– Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
– Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系)
– Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系)

この問題は、該当する製品をシックス・アパート株式会社が提供する修正済みのバージョンに更新することで解決します。詳細については、シックス・アパート株式会社が提供する情報を参照してください。

関連文書 (日本語)

シックス・アパート株式会社
[重要] Movable Type 6.5.2 / 6.3.10 / Movable Type 7 r. 4603 / Movable Type Premium 1.25 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2019/11/13-1100.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

複数の VMware 製品に脆弱性

最終更新日: 2019/11/21

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/vmware-releases-security-updates

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザがホスト OS 上で任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– VMware vSphere ESXi 6.7 系
– VMware vSphere ESXi 6.5 系
– VMware vSphere ESXi 6.0 系
– VMware Workstation Pro / Player 15 系
– VMware Fusion / Pro 11 系

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0020
https://www.vmware.com/security/advisories/VMSA-2019-0020.html

VMware Security Advisories

VMSA-2019-0021
https://www.vmware.com/security/advisories/VMSA-2019-0021.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/11/21

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Animate CC 2019 19.2.1 およびそれ以前 (Windows)
– Illustrator CC 2019 23.1 およびそれ以前 (Windows)
– Adobe Media Encoder 13.1 (Windows, macOS)
– Adobe Bridge CC 9.1 (Windows, macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019111302.html

Adobe

Adobe Animate CC に関するセキュリティアップデート公開 | APSB19-34
https://helpx.adobe.com/jp/security/products/animate/apsb19-34.html

Adobe

Adobe Illustrator に関するセキュリティアップデート公開 | APSB19-36
https://helpx.adobe.com/jp/security/products/illustrator/apsb19-36.html

Adobe

Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-52
https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-52.html

Adobe

Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-53
https://helpx.adobe.com/jp/security/products/bridge/apsb19-53.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

複数の Intel 製品に脆弱性

最終更新日: 2019/11/21

情報源

Japan Vulnerability Notes JVNVU#90354904
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90354904

US-CERT Current Activity

Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/intel-releases-security-updates

概要

複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intelが提供するアドバイザリ情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019111301.html

関連文書 (英語)

Intel
IPAS: November 2019 Intel Platform Update (IPU)
https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/

Intel

Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

Intel

INTEL-SA-00164 2019.2 IPU Intel TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00164.html

Intel

INTEL-SA-00210 2019.2 IPU Intel Processor Machine Check Error Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00210.html

Intel

INTEL-SA-00219 2019.2 IPU Intel SGX with Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00219.html

Intel

INTEL-SA-00220 2019.2 IPU Intel SGX and TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00220.html

Intel

INTEL-SA-00240 2019.2 IPU Intel Processor Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00240.html

Intel

INTEL-SA-00241 2019.2 IPU Intel CSME, Intel SPS, Intel TXE, Intel AMT, Intel PTT and Intel DAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html

Intel

INTEL-SA-00242 2019.2 IPU Intel Graphics Driver for Windows and Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00242.html

Intel

INTEL-SA-00254 2019.2 IPU Intel Processor Graphics SMM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00254.html

Intel

INTEL-SA-00255 2019.2 IPU Intel Ethernet 700 Series Controllers Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00255.html

Intel

INTEL-SA-00260 2019.2 IPU Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00260.html

Intel

INTEL-SA-00270 2019.2 IPU TSX Asynchronous Abort Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html

Intel

INTEL-SA-00271 2019.2 IPU Intel Xeon Scalable Processors Voltage Setting Modulation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00271.html

Intel

INTEL-SA-00280 2019.2 IPU UEFI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00280.html

Intel

INTEL-SA-00287 Intel WIFI Drivers and Intel PROSet/Wireless WiFi Software extension DLL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00287.html

Intel

INTEL-SA-00288 Intel PROSet/Wireless WiFi Software Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00288.html

Intel

INTEL-SA-00293 2019.2 IPU Intel SGX Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00293.html

Intel

INTEL-SA-00309 Nuvoton CIR Driver for Windows 8 for Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00309.html

Intel

INTEL-SA-00313 Intel BMC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00313.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2019/11/21

情報源

US-CERT Current Activity
Microsoft Releases November 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/microsoft-releases-november-2019-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Internet Explorer
– Microsoft Edge (EdgeHTML ベース)
– ChakraCore
– Microsoft Office、Microsoft Office Services および Web Apps
– オープン ソース ソフトウェア
– Microsoft Exchange Server
– Visual Studio
– Azure Stack

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573

JPCERT/CC 注意喚起

2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190042.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html

 

2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0042
JPCERT/CC
2019-11-13
<<< JPCERT/CC Alert 2019-11-13 >>>
2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190042.html

I.概要

マイクロソフトから 2019年11月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2019 年 11 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」
のものを挙げています。

CVE-2019-0719

Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0719

– KB4523205, KB4524570, KB4525232, KB4525233, KB4525234, KB4525235
KB4525236, KB4525237, KB4525239, KB4525241, KB4525243, KB4525246
KB4525250, KB4525253
CVE-2019-0721

Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0721
– KB4523205, KB4524570, KB4525237, KB4525241

CVE-2019-1373

Microsoft Exchange のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1373– KB4523171

CVE-2019-1389

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1389

– KB4525232, KB4525233, KB4525234, KB4525235, KB4525236, KB4525237
KB4525239, KB4525241, KB4525243, KB4525246, KB4525250, KB4525253
CVE-2019-1390

VBScript のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1390

– KB4523205, KB4524570, KB4525106, KB4525232, KB4525235, KB4525236
KB4525237, KB4525241, KB4525243
CVE-2019-1397

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1397

– KB4523205, KB4524570, KB4525232, KB4525233, KB4525234, KB4525235
KB4525236, KB4525237, KB4525239, KB4525241, KB4525243, KB4525246
KB4525250, KB4525253
CVE-2019-1398

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1398
– KB4523205, KB4524570, KB4525237, KB4525241

CVE-2019-1419

OpenType フォントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1419

– KB4523205, KB4524570, KB4525232, KB4525233, KB4525234, KB4525235
KB4525236, KB4525237, KB4525239, KB4525241, KB4525243, KB4525246
KB4525250, KB4525253
CVE-2019-1426

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1426
– KB4523205, KB4524570, KB4525232, KB4525236, KB4525237, KB4525241

CVE-2019-1427

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1427
– KB4523205, KB4524570

CVE-2019-1428

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1428
– KB4523205, KB4524570, KB4525236, KB4525237, KB4525241

CVE-2019-1429

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1429

– KB4523205, KB4524570, KB4525106, KB4525232, KB4525235, KB4525236
KB4525237, KB4525241, KB4525243
CVE-2019-1430

Microsoft Windows メディア ファンデーションのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1430
– KB4524570

CVE-2019-1441

Win32k Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1441
– KB4525233, KB4525234, KB4525235, KB4525239

なお、マイクロソフトによると、CVE-2019-1429 (緊急) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2019 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573

マイクロソフト株式会社

2019 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2019/11/12/201911-security-updates/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6811-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/