特に重要なセキュリティ欠陥・ウイルス情報

Internet Explorer (IE) 6〜11 に未修正の欠陥があることが判明しました。攻略 Web ページを IE で閲覧すると、マルウェア（ウイルス）が自動的に実行されます。IE 9〜11 を攻撃対象とするマルウェアが実際に出回っています。

• セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 (Microsoft)

更新プログラムは現在開発中です。今回、Fix it は提供されていません。EMET 4.1 をインストールして回避してください。

• EMET 4.1 を公開 〜 構成ファイルや管理機能の強化（マイクロソフト）

EMET 4.1 のインストールには .NET Framework 4.0 が必要になります。インストールされていない場合は、あらかじめインストールしておいてください。

• Microsoft .NET Framework 4 (Web インストーラー)（マイクロソフト）

加えて、Firefox や Chrome といった代替 Web ブラウザを利用する事も効果があります（それだけで完全に回避できるわけではありませんが）。

関連キーワード: Internet Explorer

2014.04.30 追記

VGX.dll を無効化することでも本欠陥を回避できます。これを容易に実行できるようにしたソフトウェアが公開されました。

• IE6～11の深刻な脆弱性の対策ソフト IE_Remove_VGX_DLL (西村誠一のパソコン無料サポートとオンラインソフト)

EMET 4.1 のインストールが困難、あるいは不具合が発生するなどの場合には、こちらをお試しください。

2014.05.02 追記

更新プログラムが公開されました。サポートが終了したはずの Windows XP 用の更新プログラムも「特例として」公開されています。Microsoft Update や Microsoft Windows Software Update Services などを利用してインストールしてください。

• MS14-021 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (2965111)（マイクロソフト）
• セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開（マイクロソフト）

VGX.dll の無効化による回避策を実施している場合には、更新プログラムの適用後に VGX.dll の有効化を行ってください。

EMET 4.1 をインストールした方は、ひきつづきインストールしたままにされることをお勧めします。

暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed（心臓出血）バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。

• OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 (@IT)

理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。

しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア（Web ブラウザや FTP ソフトなど）を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報（ユーザー名、パスワード）などが漏洩する可能性があります。

OS 標準の OpenSSL ライブラリの更新が必要なもの

Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。

FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。

個別のアプリケーションソフトウェアの更新が必要となるもの

主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。

ファームウェアの更新が必要となるもの

組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。

利用しているサービスでの対応が必要となるもの

利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。

iOS 7.1.1、Apple TV 6.1.1 が公開されました。19 件のセキュリティ欠陥が修正されています。

• About the security content of iOS 7.1.1 (Apple)
• About the security content of Apple TV 6.1.1 (Apple)

iPhone、iPad、iPod touch、Apple TV 利用者は速やかに更新してください。

関連キーワード: iOS

Mac OS OS X Lion v10.7.5、Mountain Lion v10.8.5、Mavericks 10.9.2 用の Security Update 2014-002 が公開されました。33 件のセキュリティ欠陥が修正されています。

• Security Update 2014-002 (Apple)

利用者は、ソフトウェアアップデートを使って更新してください。

関連キーワード: Mac

Java SE 7 Update 55、Java SE 8 Update 5 が公開されました。37 件のセキュリティ欠陥が修正されています。Java SE 利用者は更新してください。

• Java SE Downloads (Oracle)

Java SE 6 の公式アップデートは 2013 年 2 月で終了しました。既に Java 6 を狙ったゼロデイ攻撃も行われています。Windows・Linux 版 Java SE 6 の利用者は、早急に Java SE 7 または Java SE 8 へアップグレードしてください。

Mac OS X 版 Java SE 6 についても、更新版の公開が終了した模様です。Java が必要な場合は、Java SE 7 または Java SE 8 をインストールしてください。

Java SE 7 Update 10 以降では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。チェックを外すことを強く推奨します。

関連キーワード: Java