【Mac】
Mac OS X Mavericks v10.9.2 および OS X 10.7.5、10.8.5 用の Security Update 2014-001 が公開されました。33 件のセキュリティ欠陥が修正されています。
利用者は、ソフトウェアアップデートを使って更新してください。
関連キーワード: Mac
▼ 2014/02/27(木) Safari 6.1.2、7.0.2 公開
【Mac】
Mac OS X Lion v10.7.5・Mountain Lion v10.8.5 用の Safari 6.1.2 と、Mavericks v10.9.2 用の Safari 7.0.2 が公開されました。4 件のセキュリティ欠陥が修正されています。Safari 7.0.2 は OS X Mavericks v10.9.2 に含まれています。
- About the security content of Safari 6.1.2 and Safari 7.0.2 (Apple)
- About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001 (Apple)
利用者は、ソフトウェアアップデート を使って更新してください。
関連キーワード: Safari
▼ 2014/02/25(火) Google Chrome 33.0.1750.117 公開
【マルチOS】
Windows / Mac / Linux 向けの Google Chrome 33.0.1750.117 が公開されています。28 件のセキュリティ欠陥が修正されています。
- Stable Channel Update (Google Chrome Release blog)
Google Chrome は自動的に更新されます。Windows / Mac / Linux 向けの Chrome 利用者は上記バージョン以降に更新されていることを確認してください。
なお、Chrome Frame はもはや保守されていません。速やかに削除してください。
関連キーワード: Chrome
▼ 2014/02/25(火) iOS 7.0.6、6.1.6、Apple TV 6.0.2 公開。重大な欠陥を修正
【マルチOS】
iOS 7.0.6、6.1.6、Apple TV 6.0.2 が公開されました。SSL/TLS 接続時に偽物のサイトを検出できないという、重大な欠陥が修正されています。
- About the security content of iOS 7.0.6 (Apple)
- About the security content of iOS 6.1.6 (Apple)
- About the security content of Apple TV 6.0.2 (Apple)
- Apple's SSL/TLS bug (22 Feb 2014) (ImperialViolet)
iPhone、iPad、iPod touch、Apple TV 利用者は速やかに更新してください。
同じ欠陥が Mac OS X 10.9、10.9.1 にも存在することが判明しています。しかし修正プログラムはまだ開発中です。
Google Chrome や Firefox は独自の SSL/TLS ライブラリを使用しているため、この欠陥の影響を受けません。少なくとも修正されるまでは、Mac OS X 10.9.x では OS 標準の Web ブラウザである Safari は使わず、Google Chrome や Firefox を使って Web サイトを閲覧してください。
関連: アップルのセキュリティの脆弱性の影響を受けるOS Xアプリ一覧 (gizmode)
欠陥の影響を確認したい場合は、偽物サイトをデモしている、https://www.imperialviolet.org:1266/ に接続してみてください。正常に接続できてしまう場合は、欠陥の影響を受けています。
2014.02.27 追記
Mac OS X 10.9、10.9.1 については、OS X Mavericks v10.9.2 で修正されました。Mac OS X 10.9.x 利用者は、ソフトウェアアップデートを使って更新してください。
▼ 2014/02/21(金) Internet Explorer 9、10 に未修正の欠陥、回避プログラムを適用してください
【Windows】
Internet Explorer (IE) 9、10 に未修正の欠陥があることが判明しました。攻略 Web ページを IE で閲覧すると、マルウェア(ウイルス)が自動的に実行されます。IE 10 を攻撃対象とするマルウェアが実際に出回っています。
更新プログラムは現在開発中です。この欠陥を悪用する攻撃を回避するための Fix it が公開されていますので、適用してください。KB 2934088 に掲載されている Fix it 51007 を実行すると、回避コードが有効になります。回避コードを無効にしたい場合は、KB 2934088 に掲載されている Fix it 51008 を適用してください。
Fix it に加えて EMET 4.1 を併用すると、より効果的です。
- EMET 4.1 を公開 〜 構成ファイルや管理機能の強化 (Microsoft)
この欠陥は IE 11 には存在しないため、IE 11 をインストールすることでも対応できます。Windows 7 の場合はこちらからダウンロードしてインストールしてください。Windows 8 の場合は Windows 8.1 にアップデートすることで IE 11 がインストールされます。
関連キーワード: Internet Explorer
2014.02.25 追記
この欠陥を悪用した攻撃事例が、日本国内でも確認されました。
- 日本国内で Internet Explorer9、10 へのゼロデイ攻撃を確認 (トレンドマイクロ)
- サイト改ざんの影響について (ヤマレコ)
IE 9、10 の利用者は Fix it 51007 を適用してください。あわせて EMET 4.1 を併用すると、より効果的です。
2014.03.12 追記
MS14-012 で修正されました。Microsoft Update などを用いて、更新プログラムを適用してください。Fix it 51007 を実行して回避策を有効にしている場合は、更新プログラムの適用後に、Fix it 51008 を適用して回避策を無効にください。