特に重要なセキュリティ欠陥・ウイルス情報

自動的に外部コマンドを実行する PDF ファイルを作成できることが明らかになりました。ウイルスの実行に悪用される恐れが多分にあります。

• PDF "/Launch" Social Engineering Attack (Adobe Reader blog)

著名な PDF ファイル閲覧ソフトでは次のようになります。

• Adobe Reader / Acrobat の場合、自動的には実行されず警告が表示されるのですが、警告表示を改ざんできてしまうため、意図せずに実行してしまう恐れがあります。
• Foxit Reader の場合は 3.2.1.0401 において、警告表示がなされるよう修正されています。それより前のバージョンでは、自動的に（無警告で）実行されてしまいます。

Adobe Reader / Acrobat では、[環境設定] → [信頼性管理マネージャ] の「外部アプリケーションで PDF 以外の添付ファイルを開くことを許可」を無効にする (チェックを外す) ことで、この攻撃を回避できます。

関連キーワード: Adobe Reader

2010.04.13 追記

この欠陥を悪用するウイルス（攻略 PDF ファイル）が実際に出回っているようです。

• Troj/PDFEx-DF: SophosLabs sees malware exploiting /Launch (Sophos)

QuickTime 7.6.6 と iTunes 9.1 が公開されています。それぞれ、セキュリティ欠陥の修正を含んでいます。

• QuickTime 7.6.6 のセキュリティコンテンツについて (Apple)
• iTunes 9.1 のセキュリティコンテンツについて (Apple)

QuickTime は狙われやすいソフトウェアの 1 つです。利用者は、Apple Software Update を使って更新するか、個別にダウンロードして速やかに更新してください。

関連キーワード: QuickTime, iTunes

JDK および JRE 6 Update 19 が公開されています。多数の欠陥が修正されています。

• Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010 (Oracle)
• Java SE ダウンロード - J2SE 6 (Sun)

Java SE は狙われやすいソフトウェアの 1 つです。Java SE 利用者は速やかに更新してください。また、最新版をインストールしても旧版が削除されずに残ることがあります。正常動作を確認の後、旧版を手動にて削除してください。

なお、JDK / JRE 5.0 のサポートは 2009.11.03 をもって終了しています。JDK / JRE 5.0 を利用している場合は、削除の上、JDK / JRE 6 Update 19 に移行して下さい。

関連キーワード: Java

Thunderbird 3.0.4 が公開されています。複数の欠陥が修正されています。

• Thunderbird 3.0.4 リリースノート (mozilla.jp)
• Thunderbird 3.0 セキュリティアドバイザリ (mozilla-japan.org)

Thunderbird 3.0.x 利用者は更新して下さい。

なお、Thunderbird 2.0.x のメンテナンスは 2010 年 6 月で終了します。Thunderbird 2.0.x 利用者は、それまでに Thunderbird 3.0.x に移行してください。

関連キーワード: Thunderbird

Firefox 3.6.3 / 3.5.9 / 3.0.19 が公開されています。複数の重大なセキュリティ欠陥が修正されています。

• Firefox 3.6.3 リリースノート
• Firefox 3.6.3 ダウンロード

• Firefox 3.5.9 リリースノート
• Firefox 3.5.9 ダウンロード

• Firefox 3.0.19 リリースノート
• Firefox 3.0.19 ダウンロード

なお、

• Firefox 3.0.x 系列のサポートは今回の 3.0.19 で終了します。
• Firefox 3.5.x 系列のサポートは 2010 年 8 月に終了します。

このため、Firefox 3.5.9 / 3.0.19 にアップデートするのではなく、Firefox 3.6.3 に移行することを強く推奨します。

関連キーワード: Firefox