JPCERT/CC WEEKLY REPORT 2017-12-20

JPCERT/CC WEEKLY REPORT 2017-12-20

JPCERT-WR-2017-4901
JPCERT/CC
2017-12-20

<<< JPCERT/CC WEEKLY REPORT 2017-12-20 >>>

―――――――――――――――――――――――――――――――――――――――――――――――――――
■12/10(日)～12/16(土) のセキュリティ関連情報
―――――――――――――――――――――――――――――――――――――――――――――――――――

== 目 次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題
【5】Qt for Android に複数の脆弱性
【今週のひとくちメモ】長期休暇に備えて 2017/12

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174901.html
https://www.jpcert.or.jp/wr/2017/wr174901.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases December 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/12/Microsoft-Releases-December-2017-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office and Microsoft Office Services および Web Apps
– Microsoft Exchange Server
– Chakra Core
– Microsoft Malware Protection Engine

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC Alert 2017-12-13
2017年 12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170048.html

関連文書 (英語)
Microsoft
December 2017 Security Updates
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/c383fa60-b852-e711-80dd-000d3a32f9b6

【2】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/12/Apple-Releases-Security-Updates

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/13/Apple-Releases-Security-Updates-iOS-and-tvOS

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– iCloud for Windows 7.2 より前のバージョン
– tvOS 11.2.1 より前のバージョン
– iOS 11.2.1 より前のバージョン
– AirPort Base Station Firmware 7.7.9 より前のバージョンの 7.7 系
– AirPort Base Station Firmware 7.6.9 より前のバージョンの 7.6 系

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98418454
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98418454/

関連文書 (英語)
Apple
About the security content of iCloud for Windows 7.2
https://support.apple.com/en-us/HT208328

Apple
About the security content of tvOS 11.2.1
https://support.apple.com/en-us/HT208359

Apple
About the security content of iOS 11.2.1
https://support.apple.com/en-us/HT208357

Apple
About the security content of AirPort Base Station Firmware Update 7.6.9
https://support.apple.com/en-us/HT208258

Apple
About the security content of AirPort Base Station Firmware Update 7.7.9
https://support.apple.com/en-us/HT208354

【3】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2017/12/14/Google-Releases-Security-Update-Chrome

概要
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
情報を取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Google Chrome 63.0.3239.108 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop_14.html

【4】複数の TLS 実装において Bleichenbacher タイプの攻撃対策が不十分である問題

情報源
US-CERT Current Activity
Transport Layer Security (TLS) Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/12/13/Transport-Layer-Security-TLS-Vulnerability

CERT/CC Vulnerability Note VU#144389
TLS implementations may disclose side channel information via discrepencies between valid and invalid PKCS#1 padding
https://www.kb.cert.org/vuls/id/144389

概要
報告者によると TLS 通信を行う複数のシステムに対して TLS 実装の不備が報
告されています。結果として、遠隔の第三者が TLS で暗号化されたデータを
解読する可能性があります。

対象となるシステムは次の通りです。

– TLS 通信を行うプログラム

この問題は、TLS を実装する製品を各ベンダが提供する修正済みのバージョン
に更新することで解決します。詳細は、各ベンダが提供する情報を参照してく
ださい。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92438713
複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題
https://jvn.jp/vu/JVNVU92438713/

関連文書 (英語)
The ROBOT Attack
The ROBOT Attack – Return of Bleichenbacher’s Oracle Threat
https://robotattack.org/

【5】Qt for Android に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#67389262
Qt for Android における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN67389262/

Japan Vulnerability Notes JVN#27342829
Qt for Android における環境変数を改ざん可能な脆弱性
https://jvn.jp/jp/JVN27342829/

概要
The Qt Company が提供する Qt for Android には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Qt for Android 5.9.3 より前のバージョン

この問題は、Qt for Android を The Qt Company が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、The Qt Company が提供する情
報を参照してください。

関連文書 (英語)
The Qt Company
Security advisory about Qt for Android
https://blog.qt.io/blog/2017/11/22/security-advisory-qt-android/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○長期休暇に備えて 2017/12

2017年12月18日、JPCERT/CC は「長期休暇に備えて 2017/12」を公開しました。
この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントを例に挙げ、
インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと
めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ
リティ対策を今一度ご確認ください。

参考文献 (日本語)
JPCERT/CC
長期休暇に備えて 2017/12
https://www.jpcert.or.jp/pr/2017/pr170003.html

――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL を参照してください。

https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
を参照してください。

https://www.jpcert.or.jp/form/

以上。
__________

2017 (C) JPCERT/CC