セキュリティ情報 – ページ 61

2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起

　JPCERT/CCからの「2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。

各位

JPCERT-AT-2018-0050
JPCERT/CC
2018-12-12

<<< JPCERT/CC Alert 2018-12-12 >>>
2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180050.html

I.概要

マイクロソフトから 2018年12月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。

2018 年 12 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」
のものを挙げています。

CVE-2018-8540

.NET Framework のコード挿入の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8540
– KB4470491, KB4470492, KB4470493, KB4470498, KB4470499, KB4470500

KB4470502, KB4470600, KB4470601, KB4470602, KB4470622, KB4470623

KB4470629, KB4470630, KB4470633, KB4470637, KB4470638, KB4470639

KB4470640, KB4470641, KB4471102, KB4471321, KB4471323, KB4471324

KB4471327, KB4471329

CVE-2018-8583

Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8583
– KB4471324, KB4471327, KB4471329, KB4471332

CVE-2018-8617

Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8617
– KB4471321, KB4471323, KB4471324, KB4471327, KB4471329, KB4471332

CVE-2018-8618

Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8618
– KB4471321, KB4471324, KB4471327, KB4471329, KB4471332

CVE-2018-8624

Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8624
– KB4471321, KB4471324, KB4471327, KB4471329, KB4471332

CVE-2018-8626

Windows DNS Server のヒープオーバーフローの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8626
– KB4471320, KB4471321, KB4471322, KB4471324, KB4471329, KB4471332

CVE-2018-8629

Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8629
– KB4471321, KB4471323, KB4471324, KB4471327, KB4471329, KB4471332

CVE-2018-8631

Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8631
– KB4470199, KB4471318, KB4471320, KB4471321, KB4471323, KB4471324
KB4471327, KB4471329, KB4471332

CVE-2018-8634

Microsoft 音声合成のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8634
– KB4471321, KB4471323, KB4471324, KB4471327, KB4471329, KB4471332

なお、マイクロソフトによると、CVE-2018-8611 (重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog
https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

なお、マイクロソフトは、11月20日 (米国時間) にアドバイザリ ADV180030を、12月5日 (米国時間) にアドバイザリ ADV180031 を定例外で公開し、Adobe Flash Player の複数の脆弱性に関するセキュリティ更新プログラムを提供しています。詳細については、次の URL を参照してください。

ADV180030 | 2018 年 11 月 21 日 Flash の更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV180030

ADV180031 | 2018 年 12 月の Adobe Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV180031

III.参考情報

マイクロソフト株式会社

2018 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

マイクロソフト株式会社

2018 年 12 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/

アドビシステムズ株式会社

Flash Player に関するセキュリティアップデート公開 | APSB18-44
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-44.html

アドビシステムズ株式会社

Flash Player に関するセキュリティアップデート公開 | APSB18-42
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-42.html

JPCERT/CC

Adobe Flash Player の脆弱性 (APSB18-44) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180047.html

JPCERT/CC

Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180048.html

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/

Adobe Acrobat および Reader の脆弱性 (APSB18-41) に関する注意喚起

　JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB18-41) に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2018-0049
JPCERT/CC
2018-12-12

<<< JPCERT/CC Alert 2018-12-12 >>>
Adobe Acrobat および Reader の脆弱性 (APSB18-41) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180049.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、任意のコードが実行されたり、ユーザの情報が窃取されたりする等の恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security Bulletin for Adobe Acrobat and Reader | APSB18-41
https://helpx.adobe.com/security/products/acrobat/apsb18-41.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.008.20081) およびそれ以前 (Windows)

– Adobe Acrobat Reader DC Continuous (2019.008.20080) およびそれ以前 (macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)
– Adobe Acrobat DC Continuous (2019.008.20081) およびそれ以前 (Windows)
– Adobe Acrobat DC Continuous (2019.008.20080) およびそれ以前 (macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30106) およびそれ以前 (Windows)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30105) およびそれ以前 (macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30457) およびそれ以前 (Windows)
– Adobe Acrobat DC Classic 2015 (2015.006.30456) およびそれ以前 (macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2019.010.20064) (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30110) (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30461) (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.010.20064) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30110) (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30461) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から最新の AdobeAcrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Acrobat and Reader | APSB18-41
https://helpx.adobe.com/security/products/acrobat/apsb18-41.html

アドビシステムズ株式会社

Security updates available for Adobe Acrobat and Reader (APSB18-41)
https://blogs.adobe.com/psirt/?p=1674

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/

セイコーエプソン製のプリンタおよびスキャナに複数の脆弱性

最終更新日: 2018/12/13

情報源

Japan Vulnerability Notes JVN#89767228
セイコーエプソン製の複数のプリンタおよびスキャナにおける複数の脆弱性
https://jvn.jp/jp/JVN89767228/

概要

セイコーエプソン株式会社が提供する複数のプリンタおよびスキャナには、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で、偽の情報を表示させたり、任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品およびバージョンについては、セイコーエプソン株式会社が提
供する情報を参照してください。

この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、セイコーエプソン株式会社が提供する情報を参照してください。

PHP に複数の脆弱性

最終更新日: 2018/12/13

情報源

The PHP Group
PHP 7.2.13 Released
https://secure.php.net/archive/2018.php#id2018-12-06-3

The PHP Group

PHP 7.1.25 Released
https://secure.php.net/archive/2018.php#id2018-12-06-4

The PHP Group

PHP 7.0.33 Released
https://secure.php.net/archive/2018.php#id2018-12-06-5

The PHP Group

PHP 5.6.39 Released
https://secure.php.net/archive/2018.php#id2018-12-06-2

概要

PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– PHP 7.2.13 より前のバージョン
– PHP 7.1.25 より前のバージョン
– PHP 7.0.33 より前のバージョン
– PHP 5.6.39 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

Google Chrome に複数の脆弱性

最終更新日: 2018/12/13

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/12/04/Google-Releases-Security-Updates-Chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Google Chrome 71.0.3578.80 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

複数の Apple 製品に脆弱性

最終更新日: 2018/12/13

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/05/Apple-Releases-Multiple-Security-Updates

Japan Vulnerability Notes JVNVU#92431031

複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92431031/

概要

複数の Apple 製品には、脆弱性があります。結果として、第三者が、任意のコードを実行したり、権限昇格を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– iOS 12.1.1 より前のバージョン
– macOS Mojave 10.14.2 より前のバージョン
– macOS High Sierra (Security Update 2018-003 未適用)
– macOS Sierra (Security Update 2018-006 未適用)
– tvOS 12.1.1 より前のバージョン
– Safari 12.0.2 より前のバージョン
– iTunes 12.9.2 for Windows より前のバージョン
– iCloud for Windows 7.9 より前のバージョン
– watchOS 5.1.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

Adobe Flash Player および Adobe Flash Player インストーラに脆弱性

最終更新日: 2018/12/13

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/06/Adobe-Releases-Security-Updates

概要

Adobe Flash Player および Adobe Flash Player インストーラには、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、第三者が権限昇格を行ったりする可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– Adobe Flash Player デスクトップランタイム 31.0.0.153 およびそれ以前 (Windows 版、macOS 版および Linux 版)

– Google Chrome 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 版、macOS 版、Linux 版および Chrome OS 版)

– Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 10 版および Windows 8.1 版)

– Adobe Flash Player インストーラ 31.0.0.108 およびそれ以前 (Windows 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新するか、最新のインストーラを使用することで解決します。詳細は、Adobe が提供する情報を参照してください。

RICOH Interactive Whiteboard に複数の脆弱性

最終更新日: 2018/12/05

情報源

Japan Vulnerability Notes JVN#55263945
RICOH Interactive Whiteboard における複数の脆弱性
https://jvn.jp/jp/JVN55263945/

概要

株式会社リコーが提供する RICOH Interactive Whiteboard には、複数の脆弱性があります。結果として、遠隔の第三者が、管理者権限によって任意のコマンドを実行したり、改ざんされたプログラムを実行したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

– RICOH Interactive Whiteboard D2200 V1.1 から V2.2 まで

– RICOH Interactive Whiteboard D5500 V1.1 から V2.2 まで

– RICOH Interactive Whiteboard D5510 V1.1 から V2.2 まで

– RICOH Interactive Whiteboard Controller Type1 V1.1 から V2.2 までを搭載した次のディスプレイ製品

– RICOH Interactive Whiteboard D5520

– RICOH Interactive Whiteboard D6500

– RICOH Interactive Whiteboard D6510

– RICOH Interactive Whiteboard D7500

– RICOH Interactive Whiteboard D8400

– RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1 までを搭載した次のディスプレイ製品

– RICOH Interactive Whiteboard D5520

– RICOH Interactive Whiteboard D6510

– RICOH Interactive Whiteboard D7500

– RICOH Interactive Whiteboard D8400

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社リコーが提供する情報を参照してください。

パナソニック製アプリケーションが登録する一部の Windows サービスに脆弱性

最終更新日: 2018/12/05

情報源

Japan Vulnerability Notes JVN#36895151
パナソニック製アプリケーションが登録する一部の Windows サービスにおいて実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN36895151/

概要

パナソニック製アプリケーションが登録する一部の Windows サービスには、脆弱性があります。結果として、本脆弱性の影響を受ける製品へのアクセス権を持つローカルユーザが、当該サービスの動作に使われる権限を取得する可能性があります。

対象となる製品は以下の通りです。

– 2009年10月以降に発売されたパナソニック製の PC で、工場出荷時に次の OS がプリインストールされている機種

– Windows 7 (32bit)

– Windows 7 (64bit)

– Windows 8 (64bit)

– Windows 8.1 (64bit)

– Windows 10 (64bit)

この問題は、該当する製品にパナソニック株式会社が提供する「サービスパス脆弱性対応ユーティリティ」を適用することで解決します。詳細は、パナソニック株式会社が提供する情報を参照してください。

Cisco Prime License Manager に SQL インジェクションの脆弱性

最終更新日: 2018/12/05

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/11/28/Cisco-Releases-Security-Update

概要

Cisco Prime License Manager には、SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、細工された HTTP POST 要求を送信することで、任意の SQL クエリを実行する可能性があります。

対象となるバージョンは以下の通りです。

– Cisco Prime License Manager 11.0.1 およびそれ以降

この問題は、Cisco Prime License Manager に Cisco が提供するパッチを適用することで解決します。詳細は、Cisco が提供する情報を参照してください。

I.概要

II.対策

III.参考情報

I.概要

II.対象

III.対策

IV. 参考情報

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書（日本語）

情報源

概要

関連文書（日本語）

情報源

概要

関連文書（英語）