JPCERTコーディネーションセンターの発表によると、お正月明けの1月6日の週においてMicrosoft製品、Adobe製品、Juniper製品、Intel製品、PHPなど、多くのものに対する脆弱性が公表されています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭に書いた通り、今日は多くの脆弱性情報をまとめてお伝えします。
PHPやWindows等における脆弱性情報
1月17日、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。
1.複数のMicrosoft製品に脆弱性
複数のMicrosoft製品に脆弱性があり、遠隔の第三者が任意のコードを実行するなどの可能性がある。
対象は、Internet Explorer / Microsoft Edge / Microsoft Windows / Microsoft Office、Microsoft Office ServicesおよびWeb Apps / ChakraCore / .NET Framework / ASP.NET / Microsoft Exchange Serve / Microsoft Visual Studio / Skype for Business / Team Foundation Server。
Microsoft Updateなどにて更新プログラムを適用することで解決。
当プログ掲載:『2019年1月のセキュリティ更新』
2.複数のAdobe製品に脆弱性
Adobe ConnectおよびAdobe Digital Editionsに脆弱性があり、第三者が機微な情報を取得する可能性がある。
対象は、Adobe Connect 9.8.1およびそれ以前 / Adobe Digital Editions 4.5.9およびそれ以前(Windows版、macOS版、iOS版およびAndroid版)。
Adobe提供の修正済みバージョンへの更新で解決。
3.複数のJuniper製品に脆弱性
複数のJuniper製品に脆弱性があり、遠隔の第三者が任意のコードを実行したりサービス運用妨害(DoS)攻撃を行ったりするなどの可能性がある。
対象は、Junos OS / Junos Space / Juniper ATP。
Juniper提供の修正済みのバージョンへの更新で解決。
4.Cisco Email Security Appliance(ESA)に複数の脆弱性
Cisco Email Security Appliance(ESA)向けCisco AsyncOSに複数の脆弱性があり、遠隔の第三者が細工した電子メールを送信することでサービス運用妨害(DoS)攻撃を行うなどの可能性がある。
※ S/MIME復号化および検証、またはS/MIME公開キーの収集が設定されている場合、もしくはグローバル設定としてのURLフィルタリング機能が有効でURLホワイトリストが使用されている場合にのみ影響を受ける。
対象は、Cisco Email Security Appliance(ESA)向けCisco AsyncOS 9.0系より前のバージョン / 9.0系のバージョン / 10.0 系のバージョン / 11.0 系のバージョン / 11.1 系のバージョン。
Cisco提供の修正済みバージョンへの更新で解決。
5.PHPに複数の脆弱性
PHPに複数の脆弱性があり、第三者が任意のコードを実行するなどの可能性がある。
対象は、PHP 7.3.1より前のバージョン / PHP 7.2.14より前のバージョン / PHP 7.1.26より前のバージョン / PHP 5.6.40より前のバージョン。
PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。
6.Intel製品に複数の脆弱性
Intel製品に複数の脆弱性があり、第三者が権限を昇格するなどの可能性がある。
対象は、Intel NUC / Intel Optane SSD DC P4800X / Intel PROSet/Wireless WiFi Software / Intel SGX SDK and Intel SGX Platform Software / Intel SSD Data Center Tool for Windows / Intel System Support Utility for Windows。
Intel提供の修正済みバージョンへの更新で解決。
7.オムロン製CX-Oneに任意のコード実行が可能な脆弱性
オムロンが提供するCX-Oneに脆弱性があり、第三者が細工したプロジェクトファイルを処理させることでアプリケーションの権限で任意のコードを実行する可能性がある。
対象は、CX-Protocol Version 2.0およびそれ以前を含むCX-One Version 4.50およびそれ以前。
オムロン提供の修正済みバージョンへの更新で解決。
8.Wiresharkに複数の脆弱性
Wiresharkに複数の脆弱性があ、遠隔の第三者がサービス運用妨害(DoS)攻撃を行うなどの可能性がある。
対象は、Wireshark 2.6.6より前のバージョン / Wireshark 2.4.12より前のバージョン。
Wireshark Foundation提供の修正済みバージョンへの更新で解決。
9.WordPress用プラグインspam-byebyeにクロスサイトスクリプティングの脆弱性
WordPress用プラグインspam-byebyeにクロスサイトスクリプティングの脆弱性があり、遠隔の第三者が当該プラグインのセットアップページにアクセスできるユーザのウェブブラウザ上で任意のスクリプトを実行する可能性がある。
対象は、spam-byebye 2.2.1およびそれ以前。
spam-byebye開発者提供の修正済みバージョンへの更新で解決。
これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。