<<< JPCERT/CC WEEKLY REPORT 2014-03-19 >>>
■03/09(日)〜03/15(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apple iOS および Apple TV に複数の脆弱性
【4】Webmin にクロスサイトスクリプティングの脆弱性
【5】CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性
【6】WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPA、2014年版 情報セキュリティ10大脅威を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr141101.txt
https://www.jpcert.or.jp/wr/2014/wr141101.xml
【1】複数の Microsoft 製品に脆弱性
情報源
Microsoft Security TechCenter
Microsoft Security Bulletin Summary for March 2014
http://technet.microsoft.com/en-us/security/bulletin/ms14-mar
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、権限を昇格したりする可能性があります。 対象となる製品は以下の通りです。 - Internet Explorer - Microsoft Windows - Microsoft Silverlight この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで 解決します。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
Microsoft 2014 年 3 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms14-mar警察庁@Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-012,013,014,015,016)
http://www.npa.go.jp/cyberpolice/topics/?seq=13264独立行政法人情報処理推進機構
Microsoft 製品の脆弱性対策について(2014年3月)
http://www.ipa.go.jp/security/ciadr/vul/20140312-ms.htmlJPCERT/CC Alert 2014-03-12
2014年3月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140011.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Security Updates Available for Adobe Flash Player
http://www.us-cert.gov/ncas/current-activity/2014/03/12/Security-Updates-Available-Adobe-Flash-PlayerUS-CERT Current Activity
Adobe Releases Security Update for Shockwave Player
http://www.us-cert.gov/ncas/current-activity/2014/03/13/Adobe-Releases-Security-Update-Shockwave-Player
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 12.0.0.70 およびそれ以前 (Windows版/Mac版) - Adobe Flash Player 11.2.202.341 およびそれ以前 (Linux版) - Adobe Shockwave Player 12.0.9.149 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当の製品を更新する ことで解決します。詳細については、Adobe が提供する情報を参照して下さい。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
http://helpx.adobe.com/jp/security/products/flash-player/apsb14-08.htmlAdobeセキュリティ情報
Adobe Shockwave Player用セキュリティアップデート公開
http://helpx.adobe.com/jp/security/products/shockwave/apsb14-10.html
【3】Apple iOS および Apple TV に複数の脆弱性
情報源
US-CERT Current Activity
Security Updates Released for iOS devices and Apple TV
http://www.us-cert.gov/ncas/current-activity/2014/03/12/Security-Updates-Released-iOS-devices-and-Apple-TV
概要
Apple iOS および Apple TV には、複数の脆弱性があります。結果として、遠 隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行 したりする可能性があります。 対象となるバージョンは以下の通りです。 - iOS 7.1 より前のバージョン - Apple TV 6.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iOS および Apple TV を更新することで解決します。詳細については、Apple が提供する情報を参照 して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94229445
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94229445/index.htmlJapan Vulnerability Notes JVNVU#90170014
Apple TV における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90170014/index.html
関連文書 (英語)
Apple
About the security content of iOS 7.1
http://support.apple.com/kb/HT6162Apple
About the security content of Apple TV 6.1
http://support.apple.com/kb/HT6163
【4】Webmin にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#381692
Webmin contains a cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/381692
概要
Webmin には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Webmin 1.670 およびそれ以前 この問題は、Webmin が提供する修正済みのバージョンに Webmin を更新するこ とで解決します。詳細については、Webmin が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98372554
Webmin にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98372554/index.html
関連文書 (英語)
Webmin
Change Log: Version 1.680 (13th March 2014)
http://www.webmin.com/changes.html
【5】CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性
情報源
ICS-CERT Advisory (ICSA-14-070-01)
Yokogawa CENTUM CS 3000 Vulnerabilities
https://ics-cert.us-cert.gov/advisories/ICSA-14-070-01
概要
CENTUM CS 3000 操作監視機能には、複数のバッファオーバーフローの脆弱性が あります。結果として、遠隔の第三者が、プロセスを停止したり、任意のコー ドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - CENTUM CS 3000 R3.09.50 およびそれ以前 この問題は、横河電機株式会社が提供する修正済みのバージョンに CENTUM CS 3000 を更新することで解決します。詳細については、横河電機株式会社が提供 する情報を参照して下さい。
関連文書 (日本語)
横河電機株式会社
YSAR-14-0001: CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性
http://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0001.pdfJapan Vulnerability Notes JVNVU#98181377
CENTUM CS 3000 操作監視機能に複数のバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU98181377/index.html
【6】WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#807134
WatchGuard Fireware XTM devices contain a cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/807134
概要
WatchGuard Fireware XTM には、クロスサイトスクリプティングの脆弱性があ ります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Fireware XTM 11.8.1 およびそれ以前 この問題は、WatchGuard Technologies が提供する修正済みのバージョンに Fireware XTM を更新することで解決します。詳細については、WatchGuard Technologies が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93903343
WatchGuard Fireware XTM にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU93903343/index.html
関連文書 (英語)
WatchGuard Security Center
Fireware XTM 11.8.3 Update Corrects XSS Flaw
http://watchguardsecuritycenter.com/2014/03/13/fireware-xtm-11-8-3-update-corrects-xss-flaw/
■今週のひとくちメモ
○IPA、2014年版 情報セキュリティ10大脅威を公開
昨年にひきつづき、IPA (独立行政法人情報処理推進機構) が「2014年版 情報 セキュリティ10大脅威」を公開しました。このドキュメントは、情報セキュリ ティ分野の研究者や企業の実務担当者などの意見をもとに、以下の3章構成で、 近年の情報システムを取り巻く脅威について解説しています。 - 第1章 セキュリティ脅威の分類と傾向 - 第2章 2014年版10大脅威 - 第3章 今後注目すべき脅威 社内 IT 環境のセキュリティを検討する際に参考にしてみてはいかがでしょうか。
参考文献 (日本語)
IPA
2014年版 情報セキュリティ10大脅威
https://www.ipa.go.jp/security/vuln/10threats2014.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/