セキュリティ情報 – ページ 73

Apache HTTP Web Server に複数の脆弱性

最終更新日: 2017/06/29

情報源

Japan Vulnerability Notes JVNVU#98416507
Apache HTTP Web Server における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98416507/

概要

Apache HTTP Web Server には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

– Apache HTTP Web Server 2.2.0 から 2.2.32 まで
– Apache HTTP Web Server 2.4.0 から 2.4.25 まで

この問題は、Apache HTTP Web Server を The Apache Software Foundationが提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。

ソースコードセキュリティ検査ツール iCodeChecker にクロスサイトスクリプティングの脆弱性

最終更新日: 2017/06/21

情報源

Japan Vulnerability Notes JVN#25078144
ソースコードセキュリティ検査ツール iCodeChecker におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN25078144/

概要

ソースコードセキュリティ検査ツール iCodeChecker には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使用しているユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となる製品は以下の通りです。

– ソースコードセキュリティ検査ツール iCodeChecker

2017年6月21日現在、ソースコードセキュリティ検査ツールiCodeChecker の開発およびサポートは終了しています。ソースコードセキュリティ検査ツールiCodeChecker の使用を停止してください。詳細は、情報処理推進機構 (IPA)が提供する情報を参照してください。

QuickTime for Windows のインストーラに任意のDLL読み込みの脆弱性

最終更新日: 2017/06/21

情報源

Japan Vulnerability Notes JVN#94771799
QuickTime for Windows のインストーラにおける任意のDLL読み込みの脆弱性
https://jvn.jp/jp/JVN94771799/

概要

QuickTime for Windows のインストーラには、任意のDLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

– QuickTime for Windows のインストーラ

2017年6月21日現在、当該製品の開発は停止しています。当該製品をインストールしないでください。詳細は、Apple が提供する情報を参照してください。

Android アプリ「サイボウズ KUNAI for Android」にクロスサイトスクリプティングの脆弱性

最終更新日: 2017/06/21

情報源

Japan Vulnerability Notes JVN#56588965
Android アプリ「サイボウズ KUNAI for Android」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN56588965/

概要

Android アプリ「サイボウズ KUNAI for Android」には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使用しているユーザのデバイス上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

– サイボウズ KUNAI for Android 3.0.0 から 3.0.6 まで

この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

WordPress 用プラグインに複数の脆弱性

最終更新日: 2017/06/21

WordPress 用プラグインに下記の脆弱性があります。

【1】WordPress 用プラグイン WP-Members にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#51355647
WordPress 用プラグイン WP-Members におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN51355647/

概要

WordPress 用プラグイン WP-Members には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

– WP-Members 3.1.8 より前のバージョン

この問題は、WP-Members を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

情報源

Japan Vulnerability Notes JVN#79738260
WordPress 用プラグイン WordPress Download Manager における複数の脆弱性
https://jvn.jp/jp/JVN79738260/

概要

WordPress 用プラグイン WordPress Download Manager には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にユーザをアクセスさせることで、任意のウェブサイトにリダイレクトさせたりする可能性があります。

対象となるバージョンは以下の通りです。

– WordPress Download Manager 2.9.51 より前のバージョン

この問題は、WordPress Download Manager を W3 Eden, Inc. が提供する修正済みのバージョンに更新することで解決します。詳細は、W3 Eden, Inc. が提供する情報を参照してください。

情報源

Japan Vulnerability Notes JVN#56787058
WordPress 用プラグイン WP Job Manager におけるアクセス制限不備の問題
https://jvn.jp/jp/JVN56787058/

概要

WordPress 用プラグイン WP Job Manager には、アクセス制限不備の問題があります。結果として、遠隔の第三者が画像ファイルをアップロードする可能性があります。

対象となるバージョンは以下の通りです。

– WP Job Manager 1.26.2 より前のバージョン

この問題は、WP Job Manager を Automattic Inc. が提供する修正済みのバージョンに更新することで解決します。詳細は、Automattic Inc. が提供する情報を参照してください。

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Mozilla-Releases-Security-Updates

US-CERT Current Activity

Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/06/15/Mozilla-Releases-Security-Update

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

– Mozilla Firefox 54 より前のバージョン

– Mozilla Firefox ESR 52.2 より前のバージョン
– Mozilla Thunderbird 52.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

– Adobe Flash Player デスクトップランタイム 25.0.0.171 およびそれ以前 (Windows版、Macintosh版、Linux版)

– Adobe Shockwave Player 12.2.8.198 およびそれ以前 (Windows版)
– Adobe Captivate 9 およびそれ以前 (Windows版、Macintosh版)

– Adobe Digital Editions 4.5.4 およびそれ以前 (Windows版、Macintosh版、iOS版、Android版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

情報源

US-CERT Current Activity
Microsoft Releases June 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/13/Microsoft-Releases-June-2017-Security-Updates

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office、Microsoft Office Services および Web Apps
– Silverlight
– Skype for Business
– Microsoft Lync

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

2017年 6月マイクロソフトセキュリティリリースに関する注意喚起

　JPCERT/CCからの「2017年 6月マイクロソフトセキュリティリリースに関する注意喚起」をお知らせします。

各位

JPCERT-AT-2017-0022
JPCERT/CC
2017-06-14

<<< JPCERT/CC Alert 2017-06-14 >>>
2017年 6月マイクロソフトセキュリティリリースに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170022.html

I.概要

　マイクロソフトから 2017年 6 月のセキュリティリリースが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。

脆弱性の詳細は、以下の URL を参照してください。

2017 年 6 月のセキュリティリリース

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/40969d56-1b2a-e711-80db-000d3a32fc99

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

ADV170007
6月の Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV170007
– KB4022730

CVE-2017-0283
Windows Uniscribe のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-0283
– KB3191837, KB3191844, KB3191939, KB3203382, KB3203427, KB4020732,
　KB4020733, KB4020734, KB4020735, KB4020736, KB4022714, KB4022715,
　KB4022717, KB4022718, KB4022719, KB4022722, KB4022724, KB4022725,
　KB4022726, KB4022727, KB4022884, KB4023307

CVE-2017-0291
Windows PDF のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-0291
– KB4022714, KB4022715, KB4022717, KB4022718, KB4022724, KB4022725,
　KB4022726, KB4022727

CVE-2017-0292
Windows PDF のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-0292
– KB4022714, KB4022715, KB4022717, KB4022718, KB4022724, KB4022725,
　KB4022726, KB4022727

CVE-2017-0294
Windows のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-0294
– KB4022008, KB4022714, KB4022715, KB4022717, KB4022718, KB4022719,
　KB4022722, KB4022724, KB4022725, KB4022726, KB4022727

CVE-2017-8464
LNK のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8464
– KB4021903, KB4022714, KB4022715, KB4022717, KB4022718, KB4022719,
　KB4022722, KB4022724, KB4022725, KB4022726, KB4022727

CVE-2017-8496
Microsoft Edge のメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8496
– KB4022715

CVE-2017-8497
Microsoft Edge のメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8497
– KB4022715

CVE-2017-8499
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8499
– KB4022725

CVE-2017-8517
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8517– KB4021558, KB4022714, KB4022715, KB4022725, KB4022726, KB4022727

CVE-2017-8520
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8520
– KB4022725

CVE-2017-8522
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8522
– KB4021558, KB4022714, KB4022715, KB4022725, KB4022726, KB4022727

CVE-2017-8524
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8524
– KB4021558, KB4022714, KB4022715, KB4022725, KB4022726, KB4022727

CVE-2017-8527
Windows Graphics のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8527
– KB3191837, KB3191844, KB3191939, KB3203382, KB4022714, KB4022715,
　KB4022717, KB4022718, KB4022719, KB4022722, KB4022724, KB4022725,
　KB4022726, KB4022727, KB4022884, KB4023307

CVE-2017-8528
Windows Uniscribe のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8528
– KB3191828, KB3191848, KB4022717, KB4022718, KB4022719, KB4022722,
　KB4022724, KB4022726, KB4022884

CVE-2017-8543
Windows Search のリモートでコードが実行される脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8543
– KB4022714, KB4022715, KB4022717, KB4022718, KB4022719, KB4022722,
　KB4022724, KB4022725, KB4022726, KB4022727, KB4024402

CVE-2017-8548
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8548
– KB4022714, KB4022715, KB4022725, KB4022727

CVE-2017-8549
スクリプトエンジンのメモリ破損の脆弱性

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8549
– KB4022714, KB4022715, KB4022725, KB4022727

なお、マイクロソフトによれば、CVE-2017-8464 (緊急)、CVE-2017-8543 (緊急) 、の脆弱性の悪用を確認しているとのことです。

セキュリティ更新プログラムの早期の適用をご検討ください。

また、今回のセキュリティリリースに関し、すでにサポートが終了しているMicrosoft Windows XP および Windows Server 2003 に関するプログラムも公開されています。詳細は、以下の URL を参照してください。

2017 年 6 月のセキュリティ更新プログラムに関連するガイダンス

https://technet.microsoft.com/ja-jp/library/security/4025685

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更
新プログラムを早急に適用してください。

Microsoft Update

http://www.update.microsoft.com/

Windows Update

http://windowsupdate.microsoft.com/

Microsoft Update Catalog

https://catalog.update.microsoft.com/

なお、すでにサポートが終了している Microsoft Windows XP および Windows Server2003 に関する更新プログラムは、Microsoft Update Catalog または、以下の URL に記載してあるダウンロードセンターへのリンクからインストールすることが可能です。

マイクロソフトセキュリティアドバイザリ 4025685: 古いプラットフォームのためのガイダンス: 2017 年 6 月 13日

https://support.microsoft.com/ja-jp/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

III.参考情報

マイクロソフト株式会社
2017 年 6 月のセキュリティリリース
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/40969d56-1b2a-e711-80db-000d3a32fc99

マイクロソフト株式会社

2017 年 6 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2017/06/14/201706-security-bulletin/

マイクロソフト株式会社

Windows Update: FAQ
https://support.microsoft.com/ja-jp/help/12373/windows-update-faq

アドビシステムズ株式会社

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-17.html

JPCERT/CC

Adobe Flash Player の脆弱性 (APSB17-17) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170021.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Flash Player の脆弱性 (APSB17-17) に関する注意喚起

各位

JPCERT-AT-2017-0021
JPCERT/CC
2017-06-14

<<< JPCERT/CC Alert 2017-06-14 >>>
Adobe Flash Player の脆弱性 (APSB17-17) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170021.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB17-17) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって Adobe Flash Player が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-17.html

II. 対象

対象となる製品とバージョンは以下の通りです。

– Adobe Flash Player Desktop Runtime (25.0.0.171) およびそれ以前
(Windows, Macintosh および Linux)

– Adobe Flash Player for Google Chrome (25.0.0.171) およびそれ以前

– Adobe Flash Player for Google Chrome (25.0.0.148) およびそれ以前

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (25.0.0.171) およびそれ以前
(Windows 10 および Windows 8.1)

お使いの Adobe Flash Player のバージョンは、以下のページで確認できます。

Adobe Flash Player: Version Information
https://helpx.adobe.com/jp/flash-player.html

III. 対策

Adobe Flash Player を以下の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (26.0.0.126)
(Windows, Macintosh および Linux)

– Adobe Flash Player for Google Chrome (26.0.0.126)

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (26.0.0.120)
(Windows 10 および Windows 8.1)

Adobe Flash Player ダウンロードセンター
https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、以下のブラウザについては、Adobe Flash Player が同梱されています。

– Internet Explorer 11 (Windows 8.1 および Windows 10)
– Microsoft Edge (Windows 10)
– Google Chrome

Internet Explorer 11 や Microsoft Edge では、Windows Update などで最新の Adobe Flash Player が更新プログラムとして提供されます。GoogleChrome は、Google Chrome のアップデート時に、Adobe Flash Player が更新されます。詳細は、以下の情報を参照してください。

ADV170007 | 6 月の Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV170007

※ Internet Explorer 以外のブラウザを使用している場合でも、Microsoft Office のように、Internet Explorer 用にインストールされている Adobe Flash Player を使用するソフトウエアがありますので、Internet Explorer 用の Adobe Flash Player も更新してください。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、以下に記載する回避策を参考に、ブラウザ上で Flash を無効にしたり、Flash の表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。なお、Microsoft Edge では、Flash を無効にすることが回避策として挙げられます。詳細は参考情報を参照してください。

– Internet Explorer の「インターネットオプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定してください。

V. 参考情報

アドビシステムズ株式会社
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-17.html

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1469

マイクロソフト株式会社
ADV170007 | 6 月の Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV170007

マイクロソフト株式会社
Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

【1】WordPress 用プラグイン WP-Members にクロスサイトスクリプティングの脆弱性

情報源

概要

関連文書 (英語)

【2】WordPress 用プラグイン WordPress Download Manager に複数の脆弱性

情報源

概要

関連文書 (英語)

【3】WordPress 用プラグイン WP Job Manager にアクセス制限不備の問題

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

I.概要

II.対策

III.参考情報

I.概要

II. 対象

III. 対策

IV. 回避策

V. 参考情報