カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

2019年 1月 Oracle Critical Patch Update について

最終更新日: 2019/01/23

情報源

US-CERT Current Activity
Oracle Releases January 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/01/15/Oracle-Releases-January-2019-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2019-01-16
2019年 1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190003.html

関連文書(英語)

Oracle

Oracle Critical Patch Update Advisory – January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-01-23」
https://www.jpcert.or.jp/wr/2019/wr190301.html

 

2019年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2019年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0002
JPCERT/CC
2019-01-09
<<< JPCERT/CC Alert 2019-01-09 >>>
2019年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190002.html

I.概要

マイクロソフトから 2019年 1月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2019 年 1 月のセキュリティ更新プログラム>\

https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」
のものを挙げています。

CVE-2019-0539

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0539
– KB4480116, KB4480961, KB4480962, KB4480966, KB4480973, KB4480978

CVE-2019-0547

Windows DHCP クライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0547
– KB4480966

CVE-2019-0550

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0550
– KB4480116, KB4480966

CVE-2019-0551

Windows Hyper-V のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0551
– KB4480116, KB4480961, KB4480966, KB4480973, KB4480978

CVE-2019-0565

Microsoft Edge のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0565
– KB4480116, KB4480966

CVE-2019-0567

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0567
– KB4480116, KB4480961, KB4480962, KB4480966, KB4480973, KB4480978

CVE-2019-0568

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0568
– KB4480116, KB4480966

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2019 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573

マイクロソフト株式会社

2019 年 1 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2019/1/9/201901-security-updates/

マイクロソフト株式会社

Windows Update: FAQ
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

WordPress 用プラグイン Google XML Sitemaps にクロスサイトスクリプティングの脆弱性

最終更新日: 2019/01/11

情報源

Japan Vulnerability Notes JVN#27052429
WordPress 用プラグイン Google XML Sitemaps におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN27052429/

概要

WordPress 用プラグイン Google XML Sitemaps には、クロスサイトスクリプティングの脆弱性があります。結果として、悪意を持った管理者が、他の管理者のウエブブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Google XML Sitemaps Version 4.0.9 およびそれ以前

この問題は、Google XML Sitemaps を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Google XML Sitemaps
Changelog
https://wordpress.org/plugins/google-sitemap-generator/#developers

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-01-09」
https://www.jpcert.or.jp/wr/2019/wr190101.html

 

Adobe Acrobat および Reader に複数の脆弱性

最終更新日: 2019/01/11

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/03/Adobe-Releases-Security-Updates

概要

Adobe Acrobat および Reader には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS)

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新することで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

Adobe
Adobe Acrobat および Reader に関するセキュリティ情報 | APSB19-02
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-02.html

JPCERT/CC Alert 2019-01-04

Adobe Acrobat および Reader の脆弱性 (APSB19-02) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190001.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-01-09」
https://www.jpcert.or.jp/wr/2019/wr190101.html

 

Adobe Acrobat および Reader の脆弱性 (APSB19-02) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB19-02) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0001
JPCERT/CC
2019-01-04
<<< JPCERT/CC Alert 2017-09-20 >>>
Adobe Acrobat および Reader の脆弱性 (APSB19-02) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190001.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、任意のコードが実行される等の恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2019.010.20069) (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30113) (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30464) (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20069) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30113) (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30464) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeAcrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Acrobat and Reader | APSB19-02
https://helpx.adobe.com/security/products/acrobat/apsb19-02.html

アドビシステムズ株式会社

Security updates available for Adobe Acrobat and Reader (APSB19-02)
https://blogs.adobe.com/psirt/?p=1682

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

MsiAdvertiseProduct に権限昇格の脆弱性

最終更新日: 2018/12/27

情報源

CERT/CC Vulnerability Note VU#228297
Microsoft Windows MsiAdvertiseProduct function vulnerable to privilege escalation via race condition
https://kb.cert.org/vuls/id/228297/

Japan Vulnerability Notes JVNVU#92357871
MsiAdvertiseProduct における権限昇格の脆弱性

https://jvn.jp/vu/JVNVU92357871/

概要

Microsoft が提供する MsiAdvertiseProduct には、競合状態に起因する権限昇格の脆弱性があります。結果として、本脆弱性の影響を受ける製品にログイン可能な第三者が ACL で保護されているファイルを読み取る可能性があります。

対象となる製品は次のとおりです。

– Microsoft Windows

2018年12月26日現在、この問題に対する解決策は提供されていません。Microsoft からの情報に注意し、対策済みのバージョンが公開された場合は速やかに適用することをおすすめします。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-12-27」
https://www.jpcert.or.jp/wr/2018/wr185001.html

 

東芝ライテック製ホームゲートウェイに複数の脆弱性

最終更新日: 2018/12/27

情報源

Japan Vulnerability Notes JVN#99810718
東芝ライテック製ホームゲートウェイにおける複数の脆弱性
https://jvn.jp/jp/JVN99810718/

概要

東芝ライテック株式会社が提供するホームゲートウェイには、複数の脆弱性があります。結果として、第三者が当該製品を root 権限で操作するなどの可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– 東芝ホームゲートウェイ HEM-GW16A 1.2.9 およびそれ以前
– 東芝ホームゲートウェイ HEM-GW26A 1.2.9 およびそれ以前

この問題は、該当する製品を東芝ライテック株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、東芝ライテック株式会社が提供する情報を参照してください。

関連文書(日本語)

東芝ライテック株式会社

東芝ホームゲートウェイの脆弱性について
https://www.tlt.co.jp/tlt/information/seihin/notice/defect/20181219/20181219.htm

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-12-27」
https://www.jpcert.or.jp/wr/2018/wr185001.html

 

Cisco Adaptive Security Appliance (ASA) に権限昇格の脆弱性

最終更新日: 2018/12/27

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/19/Cisco-Releases-Security-Updates

概要

Cisco Adaptive Security Appliance (ASA) には、権限昇格の脆弱性があります。結果として、遠隔の第三者が Web 管理インターフェイスを使用して、当該製品から設定ファイルを取得するなどの可能性があります。

対象となるバージョンは以下のとおりです。

– Cisco Adaptive Security Appliance (ASA) 9.4.4.29 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.6.4.20 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.8.3.18 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.9.2.36 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.10.1.7 より前のバージョン

なお、既にサポートが終了している Cisco Adaptive Security Appliance(ASA) 9.4 系より前のバージョン、9.5 系および 9.7 系も、本脆弱性の影響を受けるとのことです。該当のバージョンを使用している場合は、サポート対象のバージョンをご使用ください。
この脆弱性は、該当する製品で Web 管理アクセスが有効な場合にのみ、影響を受けるとのことです。
この問題は、Cisco Adaptive Security Appliance (ASA) を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Adaptive Security Appliance Software Privilege Escalation VulnerabilityJScript memory corruption vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181219-asa-privesc

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-12-27」
https://www.jpcert.or.jp/wr/2018/wr185001.html

 

Microsoft Internet Explorer にスクリプトエンジンのメモリ破損の脆弱性

最終更新日: 2018/12/27

情報源

US-CERT Current Activity
Microsoft Releases Out-of-Band Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/19/Microsoft-Releases-Security-Updates

概要

Microsoft Internet Explorer には、スクリプトエンジンのメモリ破損の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

-Internet Explorer 11

– Windows 10 Version 1703 for 32-bit Systems
– Windows 10 Version 1703 for x64-based Systems
– Windows 10 Version 1803 for 32-bit Systems
– Windows 10 Version 1803 for x64-based Systems
– Windows 10 Version 1803 for ARM64-based Systems
– Windows 10 Version 1809 for 32-bit Systems
– Windows 10 Version 1809 for x64-based Systems
– Windows 10 Version 1809 for ARM64-based Systems
– Windows Server 2019
– Windows 10 Version 1709 for 32-bit Systems
– Windows 10 Version 1709 for 64-based Systems
– Windows 10 Version 1709 for ARM64-based Systems
– Windows 10 for 32-bit Systems
– Windows 10 for x64-based Systems
– Windows 10 Version 1607 for 32-bit Systems
– Windows 10 Version 1607 for x64-based Systems
– Windows Server 2016
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows 8.1 for 32-bit systems
– Windows 8.1 for x64-based systems
– Windows RT 8.1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2012 R2
– Internet Explorer 10
– Windows Server 2012
– Internet Explorer 9
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

Microsoft
CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-8653

JPCERT/CC Alert 2018-12-20

Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180051.html

関連文書(英語)

CERT/CC Vulnerability Note VU#573168

Microsoft Internet Explorer scripting engine JScript memory corruption vulnerability
https://kb.cert.org/vuls/id/573168/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-12-27」
https://www.jpcert.or.jp/wr/2018/wr185001.html

 

Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起

 JPCERT/CCからの「Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2018-0051
JPCERT/CC
2018-12-20
<<< JPCERT/CC Alert 2018-12-20 >>>
Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180051.html

I.概要

マイクロソフトから Microsoft Internet Explorer の脆弱性 (CVE-2018-8653)に関するセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。マイクロソフトは、本脆弱性の悪用を確認しているとのことです。
脆弱性の詳細は、次の URL を参照してください。
マイクロソフト株式会社
CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653

– KB4483187, KB4483230, KB4483234, KB4483235, KB4483232, KB4483228,KB4483229

II.対象

対象となる製品とバージョンは以下の通りです。
Internet Explorer 11

– Windows 10 Version 1703 for 32-bit Systems (KB4483230)
– Windows 10 Version 1703 for x64-based Systems (KB4483230)
– Windows 10 Version 1803 for 32-bit Systems (KB4483234)
– Windows 10 Version 1803 for x64-based Systems (KB4483234)
– Windows 10 Version 1803 for ARM64-based Systems (KB4483234)
– Windows 10 Version 1809 for 32-bit Systems (KB4483235)
– Windows 10 Version 1809 for x64-based Systems (KB4483235)
– Windows 10 Version 1809 for ARM64-based Systems (KB4483235)
– Windows Server 2019 (KB4483235)
– Windows 10 Version 1709 for 32-bit Systems (KB4483232)
– Windows 10 Version 1709 for 64-based Systems (KB4483232)
– Windows 10 Version 1709 for ARM64-based Systems (KB4483232)
– Windows 10 for 32-bit Systems (KB4483228)
– Windows 10 for x64-based Systems (KB4483228)
– Windows 10 Version 1607 for 32-bit Systems (KB4483229)
– Windows 10 Version 1607 for x64-based Systems (KB4483229)
– Windows Server 2016 (KB4483229)
– Windows 7 for 32-bit Systems Service Pack 1 (KB4483187)
– Windows 7 for x64-based Systems Service Pack 1 (KB4483187)
– Windows 8.1 for 32-bit systems (KB4483187)
– Windows 8.1 for x64-based systems (KB4483187)
– Windows RT 8.1 (KB4483187)
– Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4483187)
– Windows Server 2012 R2 (KB4483187)

Internet Explorer 10

– Windows Server 2012 (KB4483187)

Internet Explorer 9

– Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4483187)
– Windows Server 2008 for x64-based Systems Service Pack 2 (KB4483187)

III. 対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

マイクロソフトから、アップデートに関する情報とともに、本脆弱性に対する回避策も説明されています。
マイクロソフトによると本脆弱性は、 JScript スクリプトエンジンにおけるメモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避することができるとのことです。jscript.dllへのアクセス制限を施すことで、JScript を利用する Web サイト等で影響が生じる可能性は考えられるため、回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

IV. 参考情報

マイクロソフト株式会社
CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653

マイクロソフト株式会社

December 2018 Security Update Release
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/

マイクロソフト株式会社

2018 年 12 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/

CERT/CC Vulnerability Note VU#573168

Microsoft Internet Explorer scripting engine JScript memory corruption vulnerability
https://www.kb.cert.org/vuls/id/573168/

Japan Vulnerability Notes JVNVU#91880486

Internet Explorer の JScript スクリプトエンジン におけるメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU91880486/

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/