<<< JPCERT/CC WEEKLY REPORT 2018-09-27 >>>
■09/16(日)〜09/22(土) のセキュリティ関連情報
目 次
【1】複数の Apple 製品に脆弱性
【2】Cisco Webex Network Recording Player に複数の脆弱性
【3】Adobe Acrobat および Reader に複数の脆弱性
【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
【5】複数の Mozilla 製品に脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2018」開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr183701.txt
https://www.jpcert.or.jp/wr/2018/wr183701.xml
【1】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/17/Apple-Releases-Multiple-Security-UpdatesJapan Vulnerability Notes JVNVU#93341447
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93341447/
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apple Support 2.4 for iOS より前のバージョン - Safari 12 より前のバージョン - watchOS 5 より前のバージョン - tvOS 12 より前のバージョン - iOS 12 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (英語)
Apple
About the security content of Apple Support 2.4 for iOS
https://support.apple.com/en-us/HT209117Apple
About the security content of Safari 12
https://support.apple.com/en-us/HT209109Apple
About the security content of watchOS 5
https://support.apple.com/en-us/HT209108Apple
About the security content of tvOS 12
https://support.apple.com/en-us/HT209107Apple
About the security content of iOS 12
https://support.apple.com/en-us/HT209106
【2】Cisco Webex Network Recording Player に複数の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/19/Cisco-Releases-Security-Updates
概要
Cisco Webex Network Recording Player には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Webex Meetings Suite (WBS32) - Webex Network Recording Player WBS32.15.10 より前のバージョン - Cisco Webex Meetings Suite (WBS33) - Webex Network Recording Player WBS33.3 より前のバージョン - Cisco Webex Meetings Online - Webex Network Recording Player 1.3.37 より前のバージョン - Cisco Webex Meetings Server - Webex Network Recording Player 3.0MR2 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Webex Network Recording Player Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180919-webex
【3】Adobe Acrobat および Reader に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/19/Adobe-Releases-Security-Updates
概要
Adobe Acrobat および Reader には、複数の脆弱性があります。結果として、 第三者が、任意のコードを実行したり、情報を窃取したりする可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat Reader DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat DC Continuous (2018.011.20058) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat 2017 Classic 2017 (2017.011.30099) およびそれ以前 (Windows 版 および macOS 版) - Adobe Acrobat DC Classic 2015 (2015.006.30448) およびそれ以前 (Windows 版 および macOS 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC Alert 2018-09-20
Adobe Reader および Acrobat の脆弱性 (APSB18-34) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180039.html
関連文書 (英語)
Adobe
Security bulletin for Adobe Acrobat and Reader | APSB18-34
https://helpx.adobe.com/security/products/acrobat/apsb18-34.html
【4】ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
情報源
US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2018/09/19/ISC-Releases-Security-Advisory-BINDJapan Vulnerability Notes JVNVU#90728793
ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
https://jvn.jp/vu/JVNVU90728793/
概要
ISC BIND 9 のマニュアルには、Update policy 機能で提供されているルール krb5-subdomain および ms-subdomain の説明が、実際の挙動と異なっている 問題があります。結果として、マニュアルの説明では許可しないはずのアップ デートリクエストを受け付けてしまう可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.11.5 より前のバージョン - BIND 9.12.3 より前のバージョン 2018年9月26日現在、この問題を修正したバージョンは公開されておりません。 開発者によると、本件への対策を行ったバージョンを 2018年10月中にリリー ス予定とのことです。 また、次の回避策を適用することで、本問題の影響を回避することが可能です。 - 更新を許可する範囲を独立したゾーンとして設定する 詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)
https://jprs.jp/tech/security/2018-09-20-bind9-vuln-krb5-subdomain.html
関連文書 (英語)
Internet Systems Consortium
CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain
https://kb.isc.org/docs/cve-2018-5741
【5】複数の Mozilla 製品に脆弱性
情報源
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.2.1
https://www.mozilla.org/en-US/security/advisories/mfsa2018-23/Mozilla
Security vulnerabilities fixed in Firefox 62.0.2
https://www.mozilla.org/en-US/security/advisories/mfsa2018-22/
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 62.0.2 より前のバージョン - Mozilla Firefox ESR 60.2.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
■今週のひとくちメモ
○「フィッシング対策セミナー 2018」開催のお知らせ
フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ シング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッ シング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策 組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご 紹介いたします。 参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、 受付終了とさせていただきますので、ご了承ください。 日時および場所: 2018年11月2日 (金) 13:00 - 18:00 (受付開始 12:15〜) 大崎ブライトコアホール (JR 大崎駅 新東口) 〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階 http://osaki-hall.jp/access/
参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー 2018 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2018.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/