<<< JPCERT/CC WEEKLY REPORT 2018-12-12 >>>
■12/02(日)〜12/08(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player および Adobe Flash Player インストーラに脆弱性
【2】複数の Apple 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】PHP に複数の脆弱性
【5】オムロン製 CX-One に複数の脆弱性
【6】セイコーエプソン製のプリンタおよびスキャナに複数の脆弱性
【7】i-FILTER に複数の脆弱性
【今週のひとくちメモ】「Hardening II SecurEach」に関するブログを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr184801.txt
https://www.jpcert.or.jp/wr/2018/wr184801.xml
【1】Adobe Flash Player および Adobe Flash Player インストーラに脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/06/Adobe-Releases-Security-Updates
概要
Adobe Flash Player および Adobe Flash Player インストーラには、脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、第三者 が権限昇格を行ったりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 31.0.0.153 およびそれ以前 (Windows 版、macOS 版および Linux 版) - Google Chrome 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 版、macOS 版、Linux 版および Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 31.0.0.153 およびそれ以前 (Windows 10 版および Windows 8.1 版) - Adobe Flash Player インストーラ 31.0.0.108 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 するか、最新のインストーラを使用することで解決します。詳細は、Adobe が 提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC Alert 2018-12-06
Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180048.htmlJapan Vulnerability Notes JVNVU#99727863
Adobe Flash Player および Flash Player Installer に脆弱性
https://jvn.jp/vu/JVNVU99727863/Adobe
Flash Player に関するセキュリティアップデート公開 | APSB18-42
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-42.html
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/05/Apple-Releases-Multiple-Security-UpdatesJapan Vulnerability Notes JVNVU#92431031
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92431031/
概要
複数の Apple 製品には、脆弱性があります。結果として、第三者が、任意の コードを実行したり、権限昇格を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 12.1.1 より前のバージョン - macOS Mojave 10.14.2 より前のバージョン - macOS High Sierra (Security Update 2018-003 未適用) - macOS Sierra (Security Update 2018-006 未適用) - tvOS 12.1.1 より前のバージョン - Safari 12.0.2 より前のバージョン - iTunes 12.9.2 for Windows より前のバージョン - iCloud for Windows 7.9 より前のバージョン - watchOS 5.1.2 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (英語)
Apple
About the security content of iOS 12.1.1
https://support.apple.com/en-us/HT209340Apple
About the security content of macOS Mojave 10.14.2, Security Update 2018-003 High Sierra, Security Update 2018-006 Sierra
https://support.apple.com/en-us/HT209341Apple
About the security content of tvOS 12.1.1
https://support.apple.com/en-us/HT209342Apple
About the security content of Safari 12.0.2
https://support.apple.com/en-us/HT209344Apple
About the security content of iTunes 12.9.2 for Windows
https://support.apple.com/en-us/HT209345Apple
About the security content of iCloud for Windows 7.9
https://support.apple.com/en-us/HT209346Apple
About the security content of watchOS 5.1.2
https://support.apple.com/en-us/HT209343
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/12/04/Google-Releases-Security-Updates-Chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 71.0.3578.80 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.html
【4】PHP に複数の脆弱性
情報源
The PHP Group
PHP 7.2.13 Released
https://secure.php.net/archive/2018.php#id2018-12-06-3The PHP Group
PHP 7.1.25 Released
https://secure.php.net/archive/2018.php#id2018-12-06-4The PHP Group
PHP 7.0.33 Released
https://secure.php.net/archive/2018.php#id2018-12-06-5The PHP Group
PHP 5.6.39 Released
https://secure.php.net/archive/2018.php#id2018-12-06-2
概要
PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実 行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.2.13 より前のバージョン - PHP 7.1.25 より前のバージョン - PHP 7.0.33 より前のバージョン - PHP 5.6.39 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.2.13
http://www.php.net/ChangeLog-7.php#7.2.13The PHP Group
PHP 7 ChangeLog Version 7.1.25
http://www.php.net/ChangeLog-7.php#7.1.25The PHP Group
PHP 7 ChangeLog Version 7.0.33
http://www.php.net/ChangeLog-7.php#7.0.33The PHP Group
PHP 5 ChangeLog Version 5.6.39
http://www.php.net/ChangeLog-5.php#5.6.39Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-136/
【5】オムロン製 CX-One に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#90473043
オムロン製 CX-One に複数の脆弱性
https://jvn.jp/vu/JVNVU90473043/
概要
オムロン株式会社が提供する CX-One には、複数の脆弱性があります。結果と して、第三者が、細工したプロジェクトファイルを処理させることで、任意の コードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 次のアプリケーションを含む CX-One Version 4.42 およびそれ以前 - CX-Programmer Version 9.66 およびそれ以前 - CX-Server Version 5.0.23 およびそれ以前 この問題は、CX-One をオムロン株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、オムロン株式会社が提供する情報を参照 してください。
関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.htmlオムロン株式会社
CX-Programmer の更新内容 | Ver.9.70 : CX-Oneオートアップデート(V4向け_2018年12月)
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmerオムロン株式会社
共通モジュール の更新内容 |―:CX-Oneオートアップデート(V4向け_2018年12月)
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module
【6】セイコーエプソン製のプリンタおよびスキャナに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#89767228
セイコーエプソン製の複数のプリンタおよびスキャナにおける複数の脆弱性
https://jvn.jp/jp/JVN89767228/
概要
セイコーエプソン株式会社が提供する複数のプリンタおよびスキャナには、複 数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で、 偽の情報を表示させたり、任意のスクリプトを実行したりするなどの可能性が あります。 対象となる製品およびバージョンについては、セイコーエプソン株式会社が提 供する情報を参照してください。 この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、セイコーエプソン株式会社 が提供する情報を参照してください。
関連文書 (日本語)
セイコーエプソン株式会社
プリンターおよびスキャナーのWeb Configにおける脆弱性について
https://www.epson.jp/support/misc/20181203_oshirase.htm
【7】i-FILTER に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#32155106
i-FILTER における複数の脆弱性
https://jvn.jp/jp/JVN32155106/
概要
デジタルアーツ株式会社が提供する i-FILTER には、複数の脆弱性があります。 結果として、遠隔の第三者が、当該製品を使用しているユーザのブラウザ上で、 任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - i-FILTER Ver.9.50R05 およびそれ以前 この問題は、i-FILTER をデジタルアーツ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、デジタルアーツ株式会社が提供 する情報を参照してください。
関連文書 (日本語)
デジタルアーツ株式会社
サポート情報サイト
https://download.daj.co.jp/user/ifilter/V9/
■今週のひとくちメモ
○「Hardening II SecurEach」に関するブログを公開
2018年12月6日(木)、「Hardening II SecurEach」に関するブログを公開しま した。本ブログでは、11月21日から 22日までの 2日間、沖縄県宮古島市にあ る JTAドーム宮古島で行われた Hardening II SecurEach の競技内容を紹介し ています。また、本イベントに参加した JPCERT/CC 早期警戒グループのメン バーの競技内における役割も紹介しています。
参考文献 (日本語)
JPCERT/CC Eyes
Hardening II SecurEachに参加しました
https://blogs.jpcert.or.jp/ja/2018/12/hardening-ii-secureach.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/