特に重要なセキュリティ欠陥・ウイルス情報

Firefox 3.5.8 / 3.0.18 が公開されています。複数の重大なセキュリティ欠陥が修正されています。

• Firefox 3.5.8 リリースノート
• Firefox 3.5.8 ダウンロード

• Firefox 3.0.18 リリースノート
• Firefox 3.0.18 ダウンロード

ただし、

• Firefox 3.0.x 系列のサポートは 2010 年 2 月で終了します。
• Firefox 3.5.x 系列のサポートは 2010 年 8 月で終了します。

また、最新版の Firefox 3.6 では、今回修正されたセキュリティ欠陥はあらかじめ修正されています。

このため、Firefox 3.5.8 / 3.0.18 にアップデートするのではなく、Firefox 3.6 に移行することを強く推奨します。Firefox 3.6 ダウンロード

関連キーワード: Firefox

Flash Player 10.0.45.2 / 9.0.262.0、AIR 1.5.3.9130 が公開されています。複数の重大な欠陥が修正されています。

• APSB10-06 - Security update available for Adobe Flash Player (Adobe)

Flash Player 10.0.45.2 は Adobe のダウンロードページから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

• Windows (Internet Explorer 用)
  • EXE 形式
  • MSI 形式

• Windows (Firefox, Opera, Safari などプラグイン方式用)
  • EXE 形式
  • MSI 形式

• Mac OS X (.dmg ファイル)
  • ユニバーサルバイナリ

• Linux
  • RPM 形式
  • deb 形式
  • tar.gz 形式

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。

旧バージョンからアップグレードする場合は、既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.0.45.2 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。

• Flash Player のアンインストール手順（Windows） (Adobe)
• How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe)

Flash CS4 Professional については専用の Flash Player が存在するので注意してください。また Flash CS3 Professional と Flex 3 には Debug 版の Flash Player をインストールしてください。これらの入手先については、Advisory を参照してください。

互換性の問題などにより、どうしても Flash Player 10 系列に移行できない場合は、Flash Player 9.0.262.0 に更新してください。Flash Player 9 for Unsupported Operating Systems から入手できます。

AIR 1.5.3.9130 は http://get.adobe.com/jp/air/ から入手してください。

Flash Player はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。

関連キーワード: Flash Player, AIR

Adobe Reader / Acrobat 9.3.1 / 8.2.1 が公開されています。複数の重大な欠陥が修正されています。

• APSB10-07 - Security updates available for Adobe Reader and Acrobat (Adobe)

Adobe Reader / Acrobat は以下のリンクから入手してください。Adobe Reader / Acrobat 9.x / 8.x の利用者は、Adobe Reader / Acrobat のアップデート機能を利用しても更新できます。

• Adobe Reader for Windows
• Adobe Reader for Macintosh
• Adobe Reader for Unix
• Acrobat for Windows
• Acrobat Pro Extended for Windows
• Acrobat 3D
• Acrobat Pro for Macintosh

Adobe Reader / Acrobat はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。

なお、Adobe Reader / Acrobat 7.x 以前はもはやサポートされていません。Adobe Reader / Acrobat 7.x 以前の利用者は、速やかに Adobe Reader / Acrobat 8.x 以降 (Adobe Reader / Acrobat 9.3.1 を推奨) にアップグレードしてください。たとえば、Windows 環境において Adobe Reader 7.x から Adobe Reader 9.3.1 にアップグレードする場合は、次の手順となります。

1. まず Adobe Reader 7.x をアンインストールします。
2. 次に Adobe Reader 9.3 をインストールします。ダウンロードした zip ファイルを展開し、setup.exe を実行します。
3. 最後に、Adobe Reader 9.3.1 アップデーターをインストールします。

関連キーワード: Acrobat

FTP クライアントや Web ブラウザなどに保存されたアカウント情報（接続先、ユーザ名、パスワード）を盗むウイルス（マルウェア）が流行しています。

• FTP アカウント情報を盗むマルウエアに関する注意喚起 (JPCERT/CC)
• マルウェア解析の現場から-03 Gumblar攻撃 (トレンドマイクロ)

次の方法で対応してください。

ウイルスに感染しないようにしてください

ウイルスに感染しないようにするのが最大の防御です。詳細については、一部の研究室におけるウイルス感染被害について（つづき） を参照してください。

マスターパスワード機能を有効にしてください

いくつかのソフトウェアは「マスターパスワード機能」を搭載しています。マスターパスワード機能を設定すると、アカウント情報を暗号化して保存するため、ウイルスによるアカウント情報取得を阻止できます。

• Firefox や Opera にはマスターパスワード機能があります。設定してください。Internet Explorer にはマスターパスワード機能はありませんが、ロボフォームなどの外部ツールを使うことで、マスターパスワードに対応できます。
• FFFTP 1.97a、Explzh for Windows 5.58、WinSCP 4.2.5 にはマスターパスワード機能があります。利用者は、各ソフトを最新版に更新したうえで、マスターパスワードを設定してください。

ただし、キーボード入力を盗みとるウイルス（キーロガー）に対しては、マスターパスワードは無力です。上記したように、ウイルスに感染しないようにするのが最大の防御であることに注意してください。

なお、マスターパスワード機能のないアプリケーションには、アカウント情報を保存しない（少なくとも、パスワードは保存しない）ことを推奨します。

通信を暗号化してください

通信を盗聴することでアカウント情報を取得するウイルスが存在します。通信を暗号化することで、このようなウイルスによるアカウント情報取得を阻止できます。

FTP は簡単に盗聴されてしまいます。SFTP や SCP を使うことで通信を暗号化できます。SFTP / SCP に対応しているファイル転送ソフトウェアを利用してください。具体的には、たとえば

• FFFTP は FTP にしか対応しておらず、通信を暗号化できません。
• WinSCP は SFTP / SCP に対応しており、通信を暗号化できます。

TELNET や POP3、SMTP も簡単に盗聴されてしまいます。

• TELNET のかわりに SSH を使う（Windows では Tera Term や PuTTY の使用を推奨します)
• POP3 や SMTP については、SSL 化した接続を行う（ほとんどの電子メールソフトで対応しています）

ことで、通信を暗号化できます。

Internet Explorer に未修正の欠陥が発見されました。攻略 Web ページを閲覧すると、既知の場所にあるファイルを盗まれてしまいます。具体的には、たとえばパスワード情報を含むファイルを盗まれる可能性があります。

• マイクロソフト セキュリティ アドバイザリ (980088) Internet Explorer の脆弱性により、情報漏えいが起こる (Microsoft)

修正プログラムはまだありませんが、複数の対応策があります。

• Windows Vista / Server 2008 / 7 / Server 2008 R2 では、 Internet Explorer の保護モード（標準で有効）を使用することで、この欠陥を回避できます。
• それ以外の Windows、あるいは保護モードを無効にしている場合は、file: プロトコルをロックダウンすることで、この欠陥を回避できます。KB980088 に掲載されている Microsoft Fix it を実行してください。
• Firefox や Opera など、Internet Explorer ではない Web ブラウザを利用することでも、この欠陥を回避できます。

関連キーワード: Internet Explorer