カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Samba に検証不備の脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity

Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Samba-Releases-Security-Updates

概要

Samba には、検証不備の脆弱性があります。結果として、中間者攻撃が可能な第三者が、KDC リクエスト内のユーザ名を書き換えることで機微な情報を窃取するなどの可能性があります。
対象となるバージョンは次のとおりです。
– Samba 4.10.3 より前のバージョン
– Samba 4.9.8 より前のバージョン
– Samba 4.8.12 より前のバージョン
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書 (英語)

The Samba Team
Samba AD DC S4U2Self/S4U2Proxy unkeyed checksum
https://www.samba.org/samba/security/CVE-2018-16860.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の Apple 製品に脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity

Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Apple-Releases-Multiple-Security-Updates

Japan Vulnerability Notes JVNVU#93988385

複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93988385/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS攻撃) を実行したりするなど可能性があります。
対象となる製品およびバージョンは次のとおりです。
– iOS 12.3 より前のバージョン
– Safari 12.1.1 より前のバージョン
– Apple TV Software 7.3 より前のバージョン
– tvOS 12.3 より前のバージョン
– watchOS 5.2.1 より前のバージョン
– macOS Mojave 10.14.5 より前のバージョン
– High Sierra (Security Update 2019-003 未適用)
– Sierra (Security Update 2019-003 未適用)
この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
iOS 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210118

Apple

macOS Mojave 10.14.5、セキュリティアップデート 2019-003 High Sierra、セキュリティアップデート 2019-003 Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210119

Apple

tvOS 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210120

Apple

Apple TV ソフトウェア 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210121

Apple

watchOS 5.2.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210122

Apple

Safari 12.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210123

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の VMware 製品に脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity

VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、第三者が、Workstation がインストールされている Windows ホスト上で権限昇格を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
– VMware Workstation Pro / Player 15.1.0 より前の 15 系のバージョン
– VMware vCenter Server 6.7 U2a より前の 6.7 系のバージョン
– VMware vCenter Server 6.5 U2g より前の 6.5 系のバージョン
– VMware vCenter Server 6.0 U3i より前の 6.0 系のバージョン
– VMware vSphere ESXi 6.7 系のバージョン
– VMware vSphere ESXi 6.5 系のバージョン
– VMware vSphere ESXi 6.0 系のバージョン
– VMware Workstation 15.1.0 より前の 15 系のバージョン
– VMware Fusion 11.1.0 より前の 11 系のバージョン
– vCloud Usage Meter (UM)
– Identity Manager (vIDM)
– vCenter Server (vCSA)
– vSphere Data Protection (VDP)
– vSphere Integrated Containers (VIC)
– vRealize Automation (vRA)
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0007
https://www.vmware.com/security/advisories/VMSA-2019-0007.html

VMware Security Advisories

VMSA-2019-0008
https://www.vmware.com/security/advisories/VMSA-2019-0008.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity

Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/05/15/Cisco-Releases-Multiple-Security-Updates

US-CERT Current Activity

Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/13/Cisco-Releases-Security-Updates

CERT/CC Vulnerability Note VU#400865

Cisco Trust Anchor module (TAm) improperly checks code and Cisco IOS XE web UI does not sanitize user input
https://www.kb.cert.org/vuls/id/400865/

Japan Vulnerability Notes JVNVU#97735735

Cisco トラストアンカーモジュール (TAm) におけるコード検証不備および Cisco IOS XE Web UI におけるユーザ入力検証不備の脆弱性
https://jvn.jp/vu/JVNVU97735735/

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、管理者権限で任意のコードやコマンドを実行したりするなどの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。 (cisco-sa-20190513-securebootを除く)
– MDS 9000 Series Multilayer Switches

– Nexus 1000V Switch for Microsoft Hyper-V
– Nexus 1000V Switch for VMware vSphere
– Nexus 3000 Series Switches
– Nexus 3500 Platform Switches
– Nexus 5500 Platform Switches
– Nexus 5600 Platform Switches
– Nexus 6000 Series Switches
– Nexus 7000 Series Switches
– Nexus 7700 Series Switches

– Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode

– Nexus 9000 Series Switches in standalone NX-OS mode
– Nexus 9500 R-Series Switching Platform
– Cisco Prime Infrastructure
– Cisco Evolved Programmable Network Manager
– Cisco Aggregation Services Router (ASR) 9000 Series
– Cisco Webex Business Suite sites
– Cisco Webex Meetings Online
– Cisco Webex Meetings Server
– Small Business Sx200 Series Managed Switches
– Small Business Sx300 Series Managed Switches
– Small Business Sx500 Series Managed Switches
– Small Business ESW2 Series Managed Switches
– Small Business Sx250 Series Switches
– Small Business Sx350 Series Switches
– Small Business Sx550 Series Switches
– BGP MPLS-based EVI を使用している Cisco IOS XR Software
– HTTPサーバ機能を有効にしている Cisco IOS XE Software
– Cisco Video Surveillance Manager

※cisco-sa-20190513-secureboot の対象となる製品は非常に多岐にわたります。対象製品の情報は、Cisco が提供するアドバイザリ情報「Cisco Secure Boot Hardware Tampering Vulnerability」を参照してください。
また、上記製品以外にも、影響度 Medium および Informational の複数の脆弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Secure Boot Hardware Tampering Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

Cisco Security Advisory

Cisco FXOS and NX-OS Software Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-snmp-dos

Cisco Security Advisory

Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce

Cisco Security Advisory

Cisco IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers MPLS OAM Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-iosxr-mpls-dos

Cisco Security Advisory

Cisco Webex Network Recording Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-webex-player

Cisco Security Advisory

Cisco Small Business Series Switches Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-sb-snmpdos

Cisco Security Advisory

Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-sqlinject

Cisco Security Advisory

Cisco IOS XR Software BGP MPLS-Based EVPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-iosxr-evpn-dos

Cisco Security Advisory

Cisco Video Surveillance Manager Web-Based Management Interface Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-cvsm

Cisco Security Advisory

Cisco IOS XE Software Web UI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity

Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品は次のとおりです。
– Adobe Flash Player Desktop Runtime (32.0.0.171) およびそれ以前 (Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.171) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.171) およびそれ以前 (Windows 10 および Windows 8.1)

– Adobe Acrobat Reader DC Continuous (2019.010.20099) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30138) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30493) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20100) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30140) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30495) およびそれ以前 (Windows, macOS)
– Adobe Media Encoder 13.0.2 (Windows, macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Adobe Acrobat および Reader に関するセキュリティ速報 | APSB19-18

https://helpx.adobe.com/jp/security/products/acrobat/apsb19-18.html

Adobe

Adobe Flash Player に関するセキュリティ速報 | APSB19-26
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-26.html

Adobe

Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-29
https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-29.html

JPCERT/CC 注意喚起

Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190021.html

JPCERT/CC 注意喚起

Adobe Acrobat および Reader の脆弱性 (APSB19-18) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190022.html

JPCERT/CC CyberNewsFlash

Adobe 製品のアップデート (APSB19-29) について
https://www.jpcert.or.jp/newsflash/2019051502.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の Intel 製品に脆弱性

最終更新日: 2019/05/22

情報源

Japan Vulnerability Notes JVNVU#92328381
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU92328381/

US-CERT Current Activity

Intel Releases Security Updates, Mitigations for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Intel-Releases-Security-Updates-Mitigations-Multiple-Products

概要

複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intelが提供するアドバイザリ情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Intel 製品の複数の脆弱性 (INTEL-SA-00213) に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190024.html

JPCERT/CC CyberNewsFlash

Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019051503.html

関連文書 (英語)

Intel
INTEL-SA-00204 Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00204.html

Intel

INTEL-SA-00213 Intel CSME, Intel SPS, Intel TXE, Intel DAL, and Intel AMT 2019.1 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html

Intel

INTEL-SA-00218 Intel Graphics Driver for Windows 2019.1 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00218.html

Intel

INTEL-SA-00223 2019.1 QSR UEFI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00223.html

Intel

INTEL-SA-00228 Intel Unite Client Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00228.html

Intel

INTEL-SA-00233 Microarchitectural Data Sampling Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html

Intel

INTEL-SA-00234 Intel SCS Discovery Utility and Intel ACU Wizard Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00234.html

Intel

INTEL-SA-00244 Intel Quartus Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00244.html

Intel

INTEL-SA-00251 Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00251.html

Intel

INTEL-SA-00252 Intel Driver & Support Assistant Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00252.html

Intel

SA00233 Microcode Update Guidance
https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf

Intel

Side Channel Vulnerability Microarchitectural Data Sampling
https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2019/05/22

情報源

US-CERT Current Activity
Microsoft Releases May 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Microsoft-Releases-May-2019-Security-Updates

US-CERT Current Activity

Microsoft Releases Security Updates to Address Remote Code Execution Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/05/16/Microsoft-Releases-Security-Updates-Address-Remote-Code-Execution

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Internet Explorer
– Microsoft Edge
– Microsoft Office、Microsoft Office Services および Web Apps
– Team Foundation Server
– Visual Studio
– Azure DevOps Server
– SQL Server
– .NET Framework
– .NET Core
– ASP.NET Core
– ChakraCore
– Online Services
– Azure
– NuGet
– Skype for Android

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 5 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d

JPCERT/CC 注意喚起

2019年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190023.html

JPCERT/CC CyberNewsFlash

リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について
https://www.jpcert.or.jp/newsflash/2019051501.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-05-22」
https://www.jpcert.or.jp/wr/2019/wr191901.html

 

Intel 製品の複数の脆弱性 (INTEL-SA-00213) に関する注意喚起

 JPCERT/CCからの「Intel 製品の複数の脆弱性 (INTEL-SA-00213) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0024
JPCERT/CC
2019-05-15
<<< JPCERT/CC Alert 2019-05-15 >>>
Intel 製品の複数の脆弱性 (INTEL-SA-00213) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190024.html

I.概要

2019年5月14日 (米国時間)、Intel からセキュリティアドバイザリ(INTEL-SA-00213) が公開されました。本アドバイザリに記載の脆弱性を悪用することで、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能性があります。脆弱性の詳細は、Intel のアドバイザリを参照してください。

INTEL-SA-00213
Intel CSME, Intel SPS, Intel TXE, Intel DAL and Intel AMT 2019.1 QSR Advisory

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html

また、Intel からは本アドバイザリ以外にも複数のアドバイザリを同日に公開しています。詳細は Intel の情報を参照してください。
Intel Corporation

Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

II.対象

脆弱性の影響を受ける製品およびバージョンは次のとおりです。

Intel Converged Security & Management Engine (Intel CSME)※

– 12.0 系 12.0.35 より前のバージョン
– 11.20 系 11.22.65 より前のバージョン
– 11.10 系 11.11.65 より前のバージョン
– 11.0 系 11.8.65 より前のバージョン

Intel Server Platform Services (Intel SPS)

– SPS_E3_05.00.04.027.0 より前のバージョン

Intel Trusted Execution Engine (Intel TXE)

– 4.0 系 4.0.15 より前のバージョン
– 3.0 系 3.1.65 より前のバージョン

※ Intel CSME のファームウエアを使用している Intel Dynamic Application Loader (Intel DAL) および Intel Active Management Technology (Intel AMT)も脆弱性の影響を受けます。
また、既にサポートが終了している複数の製品についても影響を受けるものがあります。詳細は Intel の情報を参照してください。

 

III.対策

対象の製品を Intel の情報をもとに、次の最新のバージョンにアップデート
してください。

Intel Converged Security & Management Engine (Intel CSME)

– 12.0.35
– 11.22.65
– 11.11.65
– 11.8.65

Intel Server Platform Services (Intel SPS)

– SPS_E3_05.00.04.027.0

Intel Trusted Execution Engine (Intel TXE)

– 4.0.15
– 3.1.65

また、PC や OS の各ベンダから本件に関係するアップデートが今後リリースされる可能性がありますので、各ベンダの情報にも注意してください。

IV. 参考情報

Intel Corporation
Side Channel Vulnerability Microarchitectural Data Sampling
https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html

Intel Corporation

Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

2019年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2019年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0023
JPCERT/CC
2019-05-15
<<< JPCERT/CC Alert 2019-05-15 >>>
2019年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190023.html

I.概要

マイクロソフトから 2019年5月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2019 年 5 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

ADV190012

2019 年 5 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190012
– KB4497932

CVE-2019-0708

リモート デスクトップ サービスのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0708
– KB4499149, KB4499164, KB4499175, KB4499180

CVE-2019-0725

Windows DHCP Server のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0725
– KB4494440, KB4494441, KB4497936, KB4499151, KB4499158, KB4499164

KB4499165, KB4499167, KB4499171, KB4499175
CVE-2019-0884

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0884
– KB4494440, KB4494441, KB4497936, KB4498206, KB4499149, KB4499151

KB4499154, KB4499164, KB4499167, KB4499171, KB4499179, KB4499181
CVE-2019-0903

GDI+ のリモート コードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0903
– KB4494440, KB4494441, KB4497936, KB4499149, KB4499151, KB4499154

KB4499158, KB4499164, KB4499165, KB4499167, KB4499175, KB4499179
KB4499180, KB4499181
CVE-2019-0911

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0911
– KB4494440, KB4494441, KB4497936, KB4498206, KB4499151, KB4499154

KB4499164, KB4499167, KB4499171, KB4499179, KB4499181
CVE-2019-0912

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0912
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0913

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0913
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0914

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0914
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0915

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0915
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0916

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0916
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0917

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0917
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0918

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0918
– KB4494440, KB4494441, KB4497936, KB4498206, KB4499151, KB4499154

KB4499164, KB4499167, KB4499179, KB4499181
CVE-2019-0922

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0922
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0924

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0924
– KB4494440, KB4494441, KB4497936, KB4499154, KB4499167, KB4499179

KB4499181
CVE-2019-0925

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0925
– KB4494440, KB4494441, KB4497936, KB4499167, KB4499179, KB4499181

CVE-2019-0926

Microsoft Edge のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0926
– KB4494441, KB4497936

CVE-2019-0927

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0927
– KB4494440, KB4494441, KB4497936, KB4499167, KB4499179, KB4499181

CVE-2019-0929

Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0929
– KB4494441, KB4497936, KB4499167

CVE-2019-0933

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0933
– KB4494440, KB4494441, KB4497936, KB4499167, KB4499179, KB4499181

CVE-2019-0937

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0937
– KB4494441, KB4497936, KB4499167, KB4499179

CVE-2019-0940

Microsoft ブラウザーのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0940
– KB4494440, KB4494441, KB4497936, KB4498206, KB4499151, KB44499154

KB4499164, KB4499167, KB4499179, KB4499181
CVE-2019-0953

Microsoft Word のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0953
– KB4462169, KB4464536

なお、マイクロソフトによると、CVE-2019-0863 (重要)の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

 

III.参考情報

マイクロソフト株式会社
2019 年 5 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d

マイクロソフト株式会社

2019 年 5 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2019/5/15/201905-security-updates/

マイクロソフト株式会社

Windows Update: FAQ
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

Adobe

Security Bulletin for Adobe Flash Player | APSB19-26
https://helpx.adobe.com/security/products/flash-player/apsb19-26.html

JPCERT/CC

Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190021.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Acrobat および Reader の脆弱性 (APSB19-18) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB19-18) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0022
JPCERT/CC
2019-05-15
<<< JPCERT/CC Alert 2019-05-15 >>>
Adobe Acrobat および Reader の脆弱性 (APSB19-18) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190022.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限で任意のコードが実行されたり、情報が窃取されたりする恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security bulletin for Adobe Acrobat and Reader | APSB19-18
https://helpx.adobe.com/security/products/acrobat/apsb19-18.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.010.20099) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30138) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30493) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20100) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30140) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30495) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2019.012.20034) (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30142) (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30497) (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.012.20034) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30142) (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30497) (Windows, macOS)

 

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeAcrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。
Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security bulletin for Adobe Acrobat and Reader | APSB19-18
https://helpx.adobe.com/security/products/acrobat/apsb19-18.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1746

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/