「セキュリティ 公開情報」カテゴリーアーカイブ

IPAからのセキュリティ注意喚起情報 2017年1月

IPAからのセキュリティ注意喚起情報です。
個人が管理するPCでは、速やかに修正プログラムを
導入してください。

以下は公開情報ですから、
攻撃者も情報を入手して
攻撃される恐れが高いです。

ヒットしますよね。

========セキュリティ注意喚起情報のお知らせ=================
◆お知らせリスト
 ◇ Microsoft 製品の脆弱性対策について(2017年1月)
 ◇ Adobe Flash Player の脆弱性対策について
  (APSB17-02)(CVE-2017-2938等)
 ◇ Adobe Reader および Acrobat の脆弱性対策について
     (APSB17-01)(CVE-2017-2962等)

===========================================================
■  IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。

 ◇ Microsoft 製品の脆弱性対策について(2017年1月)

  ■概要
    2017 年 1 月 11 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが 4 件公表されています。

    これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。

    攻撃が行われた場合の影響が大きいため、できるだけ早急に修正プログラムを適用して下さい。
◆詳細については、下記サイトをご覧ください。
 https://www.ipa.go.jp/security/ciadr/vul/20170111-ms.html

MS-オフィス、緊急更新が必要。マイクロソフトの4月定例

Microsoft Office の脆弱性により、リモートでコードが実行される (3048019)

公開日:2015 年 4 月 15 日

マイクロソフトの4月定例セキュリティ情報によると、
MS15-033 について、緊急更新(Windows-Update)
が必要なようです。

MS-オフィス製品だから、Word、Excel、Powerpoint など。

MS社のセキュリティセンターの公開資料では、

MS15-033 の脆弱性について

次のように、緊急と重要に分けて報告されています。

このセキュリティ更新プログラムは、Microsoft Office の脆弱性を解決します。これらの脆弱性では、特別に細工された Microsoft Office ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります。これらの脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの以下のソフトウェアについて、深刻度が「緊急」と評価されています。

  • Microsoft Word 2007、Microsoft Office 2010、Microsoft Word 2010
  • Microsoft Word Viewer、Microsoft Office 互換機能パック
  • Microsoft SharePoint Server 2010 上の Word Automation Services
  • Microsoft Office Web Apps Server 2010

さらに、深刻度が重要なレベルのセキュリティホールは、

このセキュリティ更新プログラムは、すべてのサポートされているエディションの以下のソフトウェアについて、深刻度が「重要」と評価されています。

  • Microsoft Word 2013
  • Microsoft Office for Mac 2011、Microsoft Word for Mac 2011、Outlook for Mac for Office 365
  • Microsoft SharePoint Server 2013 上の Word Automation Services
  • Microsoft Office Web Apps Server 2013

ところで、windows-XPへのサポートが終了して、
早くも1年が経過しますね。

ところが、私のサイトへの訪問者には、
まだXPの端末からアクセスされるものが多いようです。

そろそろ、本格的に、切り替え終了しないと、
ヤバイのでないでしょうか。

今回のセキュリティホールについては、
すでに、限定的ながらも攻撃が確認されているようです。

ニコニコ動画でFlash Playerのアップデート! は要注意

ニコニコ動画でFlash Playerのアップデート! は要注意です。

手口
ニコニコ動画で「このページは表示できません!
 Flash Playerの最新バージョンへのアップデート!」
という画面(実は広告)が表示され、

FlashPlayerを更新しなければならないかのように見せかけ、

偽のアップデートページ
でまったく無関係な悪質なソフトウェアをインストールさせる。

ご用心!

ご用心!

Android 版アプリ「050 plus」の脆弱性

Android 版アプリ「050 plus」
に脆弱性があり、
スマホないに蓄積された管理情報が、
抜き取られるリスクがあるようです。

「050 plus」は、
  エヌ・ティ・ティ・コミュニケーションズ株式会社が提供する
  スマートフォン向け IP 電話アプリケーションです。

エヌ・ティ・ティ・コミュニケーションズが提供する情報をもとに、
最新版へアップデートしてください。

詳細は、
Android 版アプリ「050 plus」における情報管理不備の脆弱性
を確認ください。

IE8に新たなセキュリティホール(2014年5月22日)

JPCERTコーディネーションセンター
(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)
の公開情報によると、
IE8にセキュリティ脆弱性が存在する
との警告が報道されています。(2014年5月22日)

リスクの回避策は、
IE8を使用しないこと
IE11へ更新、および他のブラウザへ切り替える

JPCERTによると、

「Japan Vulnerability Notes(JVN)」に掲載した記事では、
「JVNVU#97953185: Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性」において、IE8にセキュリティ脆弱性が存在することを伝えた。

このセキュリティ脆弱性を利用されると細工されたHTMLを閲覧することで
任意のコードが実行される危険性がある。

この問題を修正するパッチの提供は開始されていない。

IE8を使用している場合にはIE11へアップグレードする、
EMETを適用する、セキュリティレベルの設定を変更する
などの軽減処置を取ることが推奨されている。

とのことです。

IEは先日、大規模に更新されたばかりですが、
この問題は解決されていないのですね。

本日、IEの修正パッチが提供されました

世界中で話題になっている、
ウインドウズエクスプローラの脆弱性
に対応する修正パッチが、
本日、5月2日より提供されました。

IEpatch

当初予定より、
2週間も早めでしたが、
MS社も
それだけ危機感を感じたのでしょう。

多くのユーザーが、
IEでなく、
ほかのブラウザに切り替え、
移行してしまう。

いったん切り替えると、
なかなか戻ってこないものです。

なお、
サポートが修了したはずのXPに対しても、
Updateが可能です。
まだXPを利用している方は、
この機会に忘れずに更新しておきましょう。

MSエクスプローラー IE6、IE7、IE8、IE9、IE10、IE11は使うな

 人人人人人人人人人人人人人人人人人
< エクスプローラー           >
<  IE6、IE7、IE8、IE9、IE10、IE11  >
<  は使うな! 米国土安全保障省  >
  人人人人人人人人人人人人人人人人/

IE20140429

とのメディアの情報がでています。

米国土安全保障省の警告ですが、
当のマイクロソフト社の表情はいつもと変わらないようです。

MS-advisery

最新情報は、http://www.microsoft.com/ja-jp/security/default.aspx

いつも感じますが、
MS社の情報公開は、
緊急度、重要度が伝わりにくいですね。

Microsoft 製品の脆弱性対策について(2014年2月)

Windows-XPのサポート期限が、ついに残り2ヶ月を切りました。
相変わらず、Windowsに関連するセキュリティホールの情報は多いですね。

パソコンの移行にも、時間がかかります。
Microsoft 製品の脆弱性対策について(2014年2月)という情報にも、
Windows-XPは含まれなくなるわけです。

Windows-XPを使用し続けることが、
大きなリスクとなる日も、刻々と近づいているわけですね。

■ IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

 ◇ Microsoft 製品の脆弱性対策について(2014年2月)

 ■概要
  2014 年 2 月に Microsoft 製品に関する脆弱性の修正プログラムが 7 件公表さ
 れています。
  これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了した
 り、攻撃者によってパソコンが制御されたりする可能性があります。

  なお、Microsoft 社から「重要」とアナウンスされている情報の内、以下の脆弱
 性を悪用した攻撃が確認されているとの情報があるため、至急、修正プログラムを
 適用して下さい。

  ・MS14-005 の MSXML の脆弱性 CVE-2014-0266
  ・MS14-009 の .NET Framework の脆弱性 CVE-2014-0295

  また、MS14-010 の Internet Explorer の脆弱性など、「緊急」とアナウンスさ
 れている情報があるため、その他の修正プログラムも早急に適用して下さい。

 ◆詳細については、下記サイトをご覧ください。
  http://www.ipa.go.jp/security/ciadr/vul/20140212-ms.html

「SEIL」シリーズにおけるバッファオーバーフローの脆弱性対策 IPA公開情報より

IIJ(インターネットイニシアティブ・ジャパン)が開発した
高機能ルータ「SEIL(ザイル)」
に、脆弱性が見つかったようです。

このような専門性の高いシステムには、
十分な検証が加えられているのですが、
それでも、不具合は見つかるものです。

IPAの緊急公開情報によると
「SEIL」シリーズにおけるバッファオーバーフローの脆弱性対策について(JVN#43152129

株式会社インターネットイニシアティブが提供する「SEIL」シリーズには、
バッファオーバーフローの脆弱性が存在します。

この脆弱性を悪用された場合、第三者によって、
当該製品上で任意のコードを実行される可能性があります。

攻撃が行われた場合の影響が大きい脆弱性であるため、
できるだけ早急にファームウェアをアップデートして下さい。

大事な事は、
メーカーでは、自社の製品やサービスに利用上の弱点が見つかると、
その問題点を公開し、対応策を示します。

しかし、この情報は、
購入者、利用者だけでなく、
一般にも公開されるため、
その公開時点から、攻撃者に対しては、
餌食とする攻撃対象を教えていることにもつながるわけです。

自社にどのような製品が導入されているか、
当然わかっていますね。

そして、そのOSやソフトのバージョンが利用されているか、
セキュリティ対策は、自分自身の状態をつかむことから始まります。

IE8、Adobe Flash Playerの緊急対策(IPAセキュリティセンター)

マイクロソフトのIE8、アドビ社のAdobe Flash Playerを利用している方、
最新バージョンへの更新が必要でス。緊急対策情報(IPAセキュリティセンター)

以下は、IPAの緊急広報資料より抜粋です。
■ IPAセキュリティセンターは、本日、標記の緊急対策情報を発信、更新しました。

◇ Internet Explorer の脆弱性対策について(MS13-038)(CVE-2013-1347)

 ■概要
  日本マイクロソフト社の Internet Explorer にリモートからコード(命令)が実
行される脆弱性が存在します。この脆弱性を悪用された場合、アプリケーションプ
ログラムが異常終了したり、攻撃者によってパソコンを制御されたりする可能性が
 あります。

  既に、当該脆弱性に関連した攻撃が確認されているとの情報があるため、至急、
 修正プログラムを適用して下さい。

 ■対象
  以下のマイクロソフト製品が対象です。
  Internet Explorer 8

 ◆詳細については、下記サイトをご覧ください。
  http://www.ipa.go.jp/security/ciadr/vul/20130507-ms.html

◇ Microsoft 製品の脆弱性対策について(5月)

 ■概要
  5月に Microsoft 製品に関する脆弱性の修正プログラムが10件公表されています。
 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、
 攻撃者によってパソコンが制御されたりする可能性があります。

  なお、この内 MS13-038 の CVE-2013-1347 を悪用した攻撃が確認されていると
 の情報があるため、至急、修正プログラムを適用して下さい。

 ◆詳細については、下記サイトをご覧ください。
  http://www.ipa.go.jp/security/ciadr/vul/20130515-ms.html

============================================================================

■ IPAセキュリティセンターは、本日、標記の注意喚起を発表しました。

◇ Adobe Flash Player の脆弱性対策について(APSB13-14)(CVE-2013-2728等)

 ■概要
  アドビシステムズ社の Adobe Flash Player に、ウェブを閲覧することで DoS
 攻撃や、任意のコード(命令)を実行される可能性がある脆弱性(APSB13-14)が
 存在します。

  この脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、
 攻撃者によってパソコンが制御されたりする可能性があります。

  アドビシステムズ社からは、「攻撃対象になるリスクが比較的に高い脆弱性」
 としてアナウンスがされているため、至急、修正プログラムを適用して下さい。

 ■対象
  次のAdobe 製品が対象です。
  Adobe Flash Player 11.7.700.169 およびそれ以前のバージョン
  Windows版およびMacintosh版 等

  Adobe AIR 3.7.0.1530 およびそれ以前のバージョン
  Windows版およびMacintosh版 等

  ◆詳細については、下記サイトをご覧ください。
  http://www.ipa.go.jp/security/ciadr/vul/20130515-adobeflashplayer.html

◇ Adobe Reader および Acrobat の脆弱性対策について(APSB13-15)
(CVE-2013-2549等)