特に重要なセキュリティ欠陥・ウイルス情報

Firefox 2.0.0.19 / 3.0.5 が公開されています。複数の重大な欠陥が修正されています。

• Firefox 2.0.0.19 リリースノート
• Firefox 3.0.5 リリースノート
• Firefox ダウンロード

Firefox 利用者は更新してください。また Firefox 2.x は 2.0.0.19 で終了となります。Firefox 2.x 以前の利用者は、早急に Firefox 3.0.5 へ移行してください。

なお、Firefox で修正された欠陥の一部は Thunderbird にも存在し、Thunderbird 2.0.0.19 で修正される予定です。（まだ公開されていません）

関連キーワード: Firefox, Thunderbird

■ 2008.12.31 追記

Windows 版の Firefox 2.0.0.19 には一部に修正漏れがあり、これに対応して Firefox 2.0.0.20 が公開されています。これが本当の Firefox 2.x 最終版となります。

• Firefox 2.0.0.20 リリースノート

繰り返しますが、Firefox 2.x 以前の利用者は、早急に Firefox 3.0.5 へ移行してください。

Thunderbird 2.0.0.19 も公開されました。利用者は更新してください。

• Thunderbird 2.0.0.19 リリースノート
• Thunderbird ダウンロード

Microsoft から 2008 年 12 月の月例セキュリティ修正プログラムが公開されました。

• Microsoft 2008 年 12 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 8 種類です。

• MS08-070 - 緊急: Visual Basic 6.0 ランタイム拡張ファイル (ActiveX コントロール) の脆弱性により、リモートでコードが実行される (932349)
  対象: Visual Basic 6.0 ランタイム拡張ファイル、Visual Studio .NET 2002 / 2003、Visual FoxPro 8.0 / 9.0、Office FrontPage 2002、Office Project 2003 / 2007

• MS08-071 - 緊急: GDI の脆弱性により、リモートでコードが実行される (956802)
  対象: Windows 2000 / XP / Server 2003 / Vista / Server 2008

• MS08-072 - 緊急: Microsoft Office Word の脆弱性により、リモートでコードが実行される (957173)
  対象: Word 2000 / 2002 (XP) / 2003 / 2007、Outlook 2007、Works 8、Word Viewer 2003、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Office 2004 / 2008 for Mac、Open XML File Format Converter for Mac

• MS08-073 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (958215)
  対象: Internet Explorer 5.01 / 6 / 7

• MS08-074 - 緊急: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (959070)
  対象: Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer 2003、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Office 2004 / 2008 for Mac、Open XML File Format Converter for Mac

• MS08-075 - 緊急: Windows Search の脆弱性により、リモートでコードが実行される (959349)
  対象: Windows Vista / Server 2008

• MS08-076 - 重要: Windows Media コンポーネントの脆弱性により、リモートでコードが実行される (959807)
  対象: Windows Media Player 6.4 / 7.1 / 9.0 / 9.5 / 11、Windows Media サービス 4.1 / 9 / 2008

• MS08-077 - 重要: Microsoft Office SharePoint Server の脆弱性により、特権が昇格される (957175)
  対象: SharePoint Server 2007 / Search Server 2008

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意して下さい。

• Word Viewer や Excel Viewer の修正プログラムは、個別にダウンロードして適用する必要があります。上記リンクを参照してください。
• Office 2004 / 2008 for Mac の修正プログラムは、個別にダウンロードして適用する必要があります。上記リンクか、あるいは mactopia ダウンロード から入手してください。
• Office 2000 の修正プログラムは Office Update を利用するか、個別にダウンロードして適用する必要があります。
• Visual Basic 6.0 ランタイムや Visual Studio 2002 / 2003、Visual FoxPro 8.0 / 9.0 用の修正プログラムは、個別にダウンロードして適用する必要があります。上記リンクを参照してください。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。

関連キーワード: Windows, Office

VLC media player 0.9.8a が公開されています。VLC media player 0.9.0 ～ 0.9.8 に存在した欠陥が修正されています。

• Security Advisory 0811 - Buffer overflow in Real demuxer (videolan.org)

利用者は 0.9.8a にアップデートしてください。

関連キーワード: VLC media player

Java Platform, Standard Edition (Java SE) の更新版が公開されています。複数の重大なセキュリティ欠陥が修正されています。

• JVNTA08-340A - Java における複数の脆弱性に対するアップデート
• JDK and JRE 6 Update 11: リリースノート、ダウンロード
• JDK and JRE 5.0 Update 17: リリースノート、ダウンロード
• SDK and JRE 1.4.2_19: リリースノート、ダウンロード
• SDK and JRE 1.3.1_24: リリースノート、ダウンロード

Java SE を利用している場合は、最新のリリースにアップデートしてください。また、以下の点に注意してください。

• 特に支障がなければ、最新バージョンの Java SE (JDK / JRE 6 Update 11) を利用してください。
• 複数のバージョンの Java SE をインストールしている場合は、それぞれのバージョンについて最新のリリースにアップデートしてください。
• アップデート後、古いリリースをアンインストールしてください。古いリリースは自動的にはアンインストールされません。古いリリースをインストールしたままにすると、セキュリティ欠陥も残り続けます。

たとえば、お使いのコンピュータに JRE 6 Update 7 と JRE 5.0 Update 16 がインストールされている場合、

• JRE 6 Update 11 と JRE 5.0 Update 17 をインストールし、
• 動作確認後、JRE 6 Update 7 と JRE 5.0 Update 16 をアンインストールしてください。

関連キーワード: Java

OpenSSH を含む SSH 実装において、成功する確率はたいへん低いものの SSH 暗号化通信におけるデータが一部漏えいする可能性が指摘されています。

• CPNI-957037 - SSH 通信において一部データが漏えいする可能性 (JVN)

この欠陥を回避するには、暗号化において CBC (暗号ブロック連鎖) モードではなく CTR (カウンター) モードを使用します。あるいは暗号化アルゴリズムに Arcfour を使用しても回避できます。OpenSSH のデフォルト設定では CBC モードが使用されますが、OpenSSH のクライアント設定ファイル (/etc/ssh/ssh_config や ~/.ssh/config) において次のように設定すれば、CTR モードや Arcfour が使用されます。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour

上記は OpenSSH 4.2 以降で利用できる設定です。クライアントが OpenSSH 4.1 以前の場合は arcfour128 と arcfour256 が利用できないので、こうします。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour

さらに、クライアントが OpenSSH 3.6 以前の場合は CTR モードが利用できないので、こうします。

Host *
  Ciphers arcfour

rins.st.ryukoku.ac.jp の OpenSSH (5.0p1) については上記設定を行ってあります。

その他の SSH 実装についてですが、

• SSH Tectia については Plaintext Recovery Attack Against SSH (ssh.com) を参照してください。
• PuTTY 0.60 は標準で CTR モードを使用するようです。
• Tera Term (旧称 UTF-8 TeraTerm Pro with TTSSH2) については、近くリリースされるはずのバージョン 4.61 で CTR モードに対応されます。Arcfour には対応していません。
• Poderosa については、最新のバージョン 4.10 においても、CTR モードにも Arcfour にも対応していないようです。

関連キーワード: OpenSSH, SSH