<<< JPCERT/CC WEEKLY REPORT 2020-12-23 >>>
■12/13(日)〜12/19(土) のセキュリティ関連情報
目 次
【1】複数の Mozilla 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】GROWI に複数の脆弱性
【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性
【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開
【今週のひとくちメモ】制御システムセキュリティカンファレンス 2021 参加登録開始のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr205001.txt
https://www.jpcert.or.jp/wr/2020/wr205001.xml
【1】複数の Mozilla 製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/16/mozilla-releases-security-updates-firefox-firefox-esr-and
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 製品をクラッシュするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 84 より前のバージョン - Mozilla Firefox ESR 78.6 より前のバージョン - Mozilla Thunderbird 78.6 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 84
https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-55/Mozilla
Security Vulnerabilities fixed in Thunderbird 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-56/
【2】複数の Apple 製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/15/apple-releases-security-updates-multiple-productsJapan Vulnerability Notes JVNVU#95288122
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95288122/
概要
複数の Apple 製品には、脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 14.3 より前のバージョン - iPadOS 14.3 より前のバージョン - tvOS 14.3 より前のバージョン - watchOS 7.2 より前のバージョン - Safari 14.0.2 より前のバージョン - macOS Big Sur 11.1 より前のバージョン - macOS Catalina (Security Update 2020-001 未適用) - macOS Mojave (Security Update 2020-007 未適用) - macOS Server 5.11 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
iOS 14.3 および iPadOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212003Apple
iOS 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212004Apple
tvOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212005Apple
watchOS 7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212009Apple
watchOS 6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212006Apple
Safari 14.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212007Apple
macOS Big Sur 11.1、セキュリティアップデート 2020-001 Catalina、セキュリティアップデート 2020-007 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212011Apple
macOS Server 5.11 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211932
【3】GROWI に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#94169589
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN94169589/
概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果と して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があ ります。 対象となる製品バージョンは次のとおりです。 - GROWI v4.2.3 よりも前のバージョン (v4.2系) - GROWI v4.1.12 よりも前のバージョン (v4.1系) - GROWI v3系およびそれ以前のバージョン この問題は、GROWI を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#10100024
日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10100024/
概要
日本電気株式会社が提供するディスクアレイ管理ソフトウェアには、サーバ証 明書の検証不備の脆弱性があります。結果として、第三者が通信内容を窃取し たり、改ざんしたりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - WebSAM iStorageManager および iStorageManager Express で動作する次の製品 - iSM クライアント V5.1 から V12.1 より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
日本電気株式会社
iStorageManagerにおけるメッセージ改ざんの脆弱性
https://jpn.nec.com/security-info/secinfo/nv20-015.html
【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性
情報源
Japan Vulnerability Notes JVN#94244575
複数のセイコーエプソン製品で作成された自己解凍形式ファイルにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN94244575/
概要
セイコーエプソン株式会社が提供する複数の製品で作成された自己解凍形式ファ イルには、DLL 読み込みに関する脆弱性があります。結果として、第三者が当該 ファイルを実行している権限で、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - 下記バージョンの製品で作成された自己解凍形式ファイル - EpsonNet SetupManager バージョン 2.2.14 およびそれ以前 - Offirio SynergyWare PrintDirector バージョン 1.6x/1.6y およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
セイコーエプソン株式会社
エプソン製ソフトウェアで作成した自己解凍形式ファイルのDLL読み込みに関する脆弱性について
https://www.epson.jp/support/misc_t/201217_oshirase.htm
【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開
情報源
経済産業省
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html
概要
2020年12月18日、経済産業省は、サイバーセキュリティの取組の強化に関する 注意喚起を公開しました。サイバー攻撃の起点の拡大や烈度の増大が続いてい ることを受け、企業の経営者の方々に対し、サイバーセキュリティの取組の一 層の強化を促すため、最近の攻撃の特徴と目的を明らかにし、企業やその関係 機関等が対応する際に注意すべき点を整理しています。
■今週のひとくちメモ
○制御システムセキュリティカンファレンス 2021 参加登録開始のお知らせ
2021年2月12日(金)、JPCERT/CC は、制御システムセキュリティカンファレン ス 2021 をオンラインで開催します。国内外の制御システムにおける脅威の現 状と関連業界や企業で行われているセキュリティに関する先進的な取り組みを 共有し、制御システムのセキュリティ対策技術の向上やベストプラクティス確 立を目的とした、制御システム関係者のためのイベントです。 参加をご希望の場合、申し込みフォームに必要事項をご記入いただき、受付窓 口までメールでお申し込みください。
参考文献 (日本語)
JPCERT/CC
制御システムセキュリティカンファレンス 2021
https://www.jpcert.or.jp/event/ics-conference2021.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/