特に重要なセキュリティ欠陥・ウイルス情報

Microsoft から 2013 年 1 月の月例セキュリティ更新プログラムが公開されています。12 件のセキュリティ欠陥が修正されています。

• 2013 年 1 月のセキュリティ情報 (Microsoft)
• 2013 年 1 月のセキュリティ情報 (月例) – MS13-001 ～ MS13-007 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

次の点に注意してください。

• .NET Framework の更新を含んでいます。インストールには時間がかかるのでご注意ください。更新中に電源を切ったり再起動したりすると不具合の原因になります。気長にお待ちください。詳細については、.NET Framework セキュリティ更新プログラムのインストールに関する注意 を参照してください。
• Mac 用 Office (Office 2008 for Mac、Office for Mac 2011) の更新を含んでいます。Mac 用 Office の利用者は、忘れずに更新してください。
  なお、Office 2008 for Mac は今年の 4 月でサポートが終了します。Office for Mac 2011 に更新してください。
• Microsoft XML コア サービス (MSXML) 4.0 の更新を含んでいます。現在 MSXML 4.0 は SP3 だけがサポートされていますが、SP2 までしかインストールしていない事例が散見されます。コントロールパネルの「プログラムと機能」または「プログラムの追加と削除」を確認の上、「MSXML 4.0 SP2 はインストールされているが MSXML 4.0 SP3 はインストールされていない」という場合は、MSXML 4.0 SP3 をインストールしてください。こちらからダウンロードできます。インストール後、Microsoft Update などを利用して更新してください。

RINS の複数の Windows 機に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡ください。

関連キーワード: Windows, Office

Java 7 系列 (最新の Java 7 Update 10 を含む) に未修正の攻略可能な欠陥が発見されました。この欠陥を悪用するマルウェア（ウイルス）も各地で確認されています。

• JVNTA13-010A - Oracle Java 7 に脆弱性 (JVN)
• Cool 悪用ツールキットに利用された Java のゼロデイ脆弱性 (シマンテック)

Windows 版・Mac 版・Linux 版のいずれの Java 7 にも欠陥があります。

更新プログラムはまだ公開されていません。Java 7 をインストールしている場合は、次のいずれかの方法で回避してください。

• Java をアンインストールする。
  Javaを使用していないのであれば、これが一番確実な方法です。
• Web ブラウザで Java を無効化する。
  攻撃の多くは Web 経由ですので、Web ブラウザで Java を無効化すれば、それらを回避できます。最新の Java 7 Update 10 であれば、Java コントロールパネルから簡単に設定できます。
• Java 6 系列 (最新は Java 6 Update 38) にダウングレードする。
  Java 7 をアンインストールし、Java 6 をインストールし直す方法です。現時点では、攻略可能なのは Java 7 系列だけですので、この方法も選択肢に入ります。こちらからダウンロードできます。しかし Java 6 は今年の 2 月にサポートが終了してしまいます。推奨できる方法ではありません。

■ Web ブラウザで Java を無効化する方法（一括設定）

Java 7 Update 10 にアップデートした上で、Java コントロールパネルから設定します。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外します。これにより、全ての Web ブラウザにおいて Java が無効化されます。

■ Web ブラウザで Java を無効化する方法（個別設定）

Internet Explorer (IE)

1. 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダウンロードし、デスクトップ等に保存します。
2. 保存した 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダブルクリックして実行します。管理者権限が必要です。
3. IE を再起動します。

Firefox

Java アプレットを無効にするには (Mozilla) を参照してください。

Safari

Safari で Java Web プラグインを無効にする方法 (Apple) を参照してください。

Google Chrome

プラグイン (Google) の「特定のプラグインを無効にする」を参照して、Java プラグインを無効にしてください。

Opera

1. アドレスバーに opera:plugins と入力し、「プラグイン」ページを開きます。
2. 「プラグイン」ページで、Java プラグイン (「Java Platform SE …」) の「無効にする」をクリックします。無効化されると、全体がグレイアウトされます。

■ 2013年1月15日追記

欠陥が修正された Java 7 Update 11 が公開されました。Java 7 利用者は更新してください。Java コントロールパネルの [更新] タブにある「今すぐ更新」をクリックしてください。あるいは、以下のリンクから個別にダウンロードしてインストールしてください。

• Java SE Downloads (Oracle)

その上で、Web ブラウザでの Java 無効化については、設定し続ける事を推奨します。

2013年1月21日追記

複数のセキュリティ専門家・専門機関が、Java 7 Update 11 では欠陥は完全には修正されていないと指摘しています。

• Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚 （トレンドマイクロ）
• Confirmed: Java only fixed one of the two bugs. (Immunity)

上記したように、Web ブラウザでの Java 無効化については、ひきつづき設定し続ける事を推奨します。

Internet Explorer (IE) 6、7、8 に重大な欠陥があり、既に悪用されていることが確認されました。IE 6、7、8を使って攻略 Web ページを閲覧すると、自動的にウイルスが実行されてしまいます。IE 9、10 にはこの欠陥はありません。よって、既定で IE 10 がインストールされている Windows 8、Server 2012 にはこの欠陥はありません。

• JVNVU#92426910 - Internet Explorer に任意のコードが実行される脆弱性 (JVN)
• Microsoft Security Advisory (2794220) Vulnerability in Internet Explorer Could Allow Remote Code Execution (Microsoft)

更新プログラムは現在開発中です。次の回避方法があります。

• IE 9 にアップグレードする。Windows Vista、Server 2008、7、Server 2008 R2 では IE 9 にアップグレードすることでこの欠陥を回避できます。アップグレード後に、Microsoft Update などを用いて最新の更新プログラムを適用してください。

また次の緩和策があります。

• 代替ブラウザを利用する。IE のかわりに、Firefox や Chrome、Opera などの代替ブラウザを使用することで、この欠陥を回避できます。ただし IE のソフトウェアコンポーネントを利用するアプリケーションには影響が残ります。
• Enhanced Mitigation Experience Toolkit (EMET) を使用する。EMET については2012年9月18日のエントリを参照してください。

Windows XP、Server 2003 においては IE 9 にアップグレードできません。上記緩和策を両方とも実施することを推奨します。

2013年1月2日追記

この欠陥に対する Fix it ソリューションが公開されました。IE 6、7、8 の利用者は Microsoft Fix it 50971 を適用してください。Fix it のダウンロード等については KB 2794220 を参照してください。

• マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft KB 2794220)

2013年1月11日追記

Fix it ソリューションでは防ぐ事ができない攻略プログラムが確認されました。ひきつづき、上記緩和策を両方とも実施することを推奨します。

• Microsoft Internet Explorerにおけるmshtml CDwnBindInfoオブジェクトのメモリ利用不備により任意のコードが実行される脆弱性（CVE-2012-4792）に関する検証レポート (NTTデータ先端技術)

2013年1月15日追記

更新プログラムが公開されました: MS13-008 - 緊急:Internet Explorer 用のセキュリティ更新プログラム (2799329) (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。

Fix it ソリューション 50971 を適用している場合は、更新プログラムのインストール後に、Fix it ソリューション 50972 を適用して効果を解除してください。Fix it のダウンロード等については KB 2794220 を参照してください。

• マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft KB 2794220)

Java 7 Update 10 および Java 6 Update 38、JavaFX 2.2.4 が公開されています。セキュリティ修正は含まれませんが、更新を推奨します。

• Java SE Download (Oracle)
• Java SE 7 Update 10 Update Release Notes (Oracle)
• Java SE 6 Update 38 Update Release Notes (Oracle)
• JavaFX ダウンロード (Oracle)

Java は最も狙われているソフトウェアです。利用者は速やかに更新してください。Windows 上にインストール済みの Java を更新する場合は、Java コントロールパネルの [更新] タブから [今すぐ更新] を選択するのが便利です。

Java 6 のパブリックアップデートは 2013 年 2 月までです。Java 6 の利用者は、それまでに Java 7 へアップグレードしてください。

Java 7 Update 10 では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。

Adobe Photoshop Camera Raw 7.2 以前に 2 つの欠陥があり、更新版 7.3 が用意されたとアナウンスされています。

• APSB12-28: Photoshop Camera Raw に関するセキュリティアップデート公開 (Adobe)

アップデート機能を使って更新できるそうです。詳細は、上記リンクを参照してください。