<<< JPCERT/CC WEEKLY REPORT 2014-09-03 >>>
■08/24(日)〜08/30(土) のセキュリティ関連情報
目 次
【1】「複数の Microsoft 製品に脆弱性」に関する追加情報
【2】WordPress 用プラグイン MailPoet Newsletters にクロスサイトリクエストフォージェリの脆弱性
【3】Android 版 Kindle に SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】IPA テクニカルウォッチ「ウェブサイト改ざんの脅威と対策」が公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143401.txt
https://www.jpcert.or.jp/wr/2014/wr143401.xml
【1】「複数の Microsoft 製品に脆弱性」に関する追加情報
情報源
マイクロソフト 日本のセキュリティチーム
[MS14-045] 更新プログラム 2982791 の問題を解決する更新プログラム 2993651 を公開
http://blogs.technet.com/b/jpsecurity/archive/2014/08/28/ms14-045-re-released-2993651.aspx
概要
JPCERT/CC WEEKLY REPORT 2014-08-20 号【1】で紹介した「複数の Microsoft 製品に脆弱性」に関する追加情報です。 Microsoft は2014年8月13日にセキュリティ更新プログラムを公開しましたが、 一部の環境において問題が報告されていたため、その問題を修正した新たなセ キュリティ更新プログラムを公開しました。詳細については、Microsoft が提 供する情報を参照して下さい。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2014-08-20
複数の Microsoft 製品に脆弱性
https://www.jpcert.or.jp/wr/2014/wr143201.html#1
【2】WordPress 用プラグイン MailPoet Newsletters にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#94409737
WordPress 用プラグイン MailPoet Newsletters におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN94409737/index.html
概要
WordPress 用プラグイン MailPoet Newsletters には、クロスサイトリクエス トフォージェリの脆弱性があります。結果として、遠隔の第三者が、 Wordpress サイトの管理画面にログインしているユーザに、細工したページへ のアクセスを行わせることで、ユーザが意図していない操作をさせる可能性が あります。 対象となるバージョンは以下の通りです。 - MailPoet Newsletters 2.6.10 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに MailPoet Newsletters を更新することで解決します。詳細については、開発者が提供す る情報を参照して下さい。
関連文書 (英語)
MailPoet
MailPoet Newsletters Changelog
https://wordpress.org/plugins/wysija-newsletters/changelog/
【3】Android 版 Kindle に SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#17637243
Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN17637243/index.html
概要
Android 版 Kindle には、SSL サーバ証明書の検証不備の脆弱性があります。 結果として、遠隔の第三者が、中間者攻撃を行なうことによって、暗号通信を 盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 Kindle 4.5.0 より前のバージョン この問題は、Amazon.com, Inc. が提供する修正済みのバージョンに Android 版 Kindle を更新することで解決します。詳細については、Amazon.com, Inc. が提供する情報を参照して下さい。
■今週のひとくちメモ
○IPA テクニカルウォッチ「ウェブサイト改ざんの脅威と対策」が公開
2014年8月29日、IPA (独立行政法人情報処理推進機構) から、IPA テクニカル ウォッチ「ウェブサイト改ざんの脅威と対策」が公開されました。この文書で は、最近確認されている改ざんの手口を 4つに分類し、それぞれに対してウェ ブサイト運営者や組織の経営者などが、各工程で行うべき対策を解説していま す。また、自組織がどこまでウェブサイトのセキュリティ対策を行っているの かを確認するためのチェックリストも掲載しています。 ウェブサイトを運営されている方は、一度確認されてみてはいかがでしょうか。
参考文献 (日本語)
独立行政法人情報処理推進機構 (IPA)
IPAテクニカルウォッチ「ウェブサイト改ざんの脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/20140829.html独立行政法人情報処理推進機構 (IPA)
プレス発表 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
https://www.ipa.go.jp/about/press/20140813.htmlJPCERT/CC からのお知らせ
注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
https://www.jpcert.or.jp/pr/2014/pr140003.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/