特に重要なセキュリティ欠陥・ウイルス情報

デジタル証明書発行機関の1つ DigiNotar 社がハッキングされ、不正なデジタル証明書を発行していたことが明らかとなりました。放置しておくと、たとえば偽の Web サイトに誘導されても全く気がつかないといった事態が発生する恐れがあります。

• 不正なデジタル署名の問題の影響と対策 (日本のセキュリティチーム)

各社から、DigiNotar のルート証明書を削除する更新プログラム等が公開されていますので適用して下さい。

OS

• Windows: 更新プログラム 2616676 を適用して下さい。Microsoft Update や Microsoft Windows Software Update Services などによる更新を勧めます。
• Mac OS X: セキュリティアップデート 2011-005 を適用して下さい。ただし Mac OS X 10.6 以降にしか用意されていません。Mac OS X 10.5 以前は、まず 10.6 以降にアップグレードする必要があります。
• Linux: 各ディストリビューションにおいて、更新パッケージを適用して下さい。
  • Red Hat Enterprise Linux: RHSA-2011:1248-1、RHSA-2011:1282-1
  • Debian GNU/Linux: DSA-2299-1 ca-certificates、DSA-2300-2 nss
  • ubuntu Linux: USN-1197-4、USN-1197-5
  • Scientific Linux: ca-certificates、nss and nspr
  • CentOS: RHSA-2011-1282 相当 (i386, x86_64)

iOS (iPhone、iPad) や Android にも DigiNotar のルート証明書が含まれていますが、まだ更新プログラムが用意されていないようです。

• DigiNotar 関連: iPad, iPhone, iOS のルート証明書を確認する (Security-Talk by Cozax)
• DigiNotar の件: Android の証明書を確認する (Security-Talk by Cozax)

アプリケーション

• Firefox: 6.0.2 または 3.6.22 に更新して下さい。Android 版 Firefox も 6.0.2 が用意されています。
• Thunderbird: 6.0.2 または 3.1.14 に更新して下さい。
• SeaMonkey: 2.3.3 に更新して下さい。
• Google Chrome: 13.0.782.218 以降に更新して下さい。
• Adobe Reader / Acrobat: 10.1.1 または 9.4.6 に更新して下さい。10.1.1 への更新を強く推奨します。ただし UNIX 版 Adobe Reader については、9.4.6 がまだ用意されていません。参照: APSB11-24

2011.10.18 追記

iOS については iOS 5 で対応されました。iPhone / iPad ユーザは更新してください。

Microsoft から 2011 年 9 月の月例セキュリティ更新プログラムが公開されています。

• 2011 年 9 月のセキュリティ情報 (Microsoft)
• 2011 年 9 月のセキュリティ情報 (月例) (日本のセキュリティチーム)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• Mac 版の Office も影響を受けます。Mac 版 Office の更新機能を使うか、あるいは MS11-072 から更新プログラムをダウンロードして適用してください。

RINS の複数の Windows 機に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

関連キーワード: Windows, Office

Microsoft から 2010 年 9 月の月例セキュリティ更新プログラムが公開されています。

• 2010 年 9 月のセキュリティ情報 (Microsoft)。
• 2010年9月のセキュリティ情報 (月例) (日本のセキュリティチーム)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

IIS の更新が含まれています。IIS を外部に公開している場合は特に、早急に対応してください。

Office の更新が含まれていますが、Mac 版 Office は今回は対象外となっています。

RINS の複数の機械に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

関連キーワード: Windows, Office

Microsoft から 2009 年 9 月の月例セキュリティ修正プログラムが公開されています。

• Microsoft 2009 年 9 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 5 種類です。

• MS09-045 - 緊急: JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)
  対象: Windows 2000 / XP / Server 2003 / Vista / Server 2008
• MS09-046 - 緊急: DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (956844)
  対象: Windows 2000 / XP / Server 2003
• MS09-047 - 緊急: Windows Media Format の脆弱性により、リモートでコードが実行される (973812)
  対象: Windows Media Format Runtime 9.0 / 9.5 / 11、Microsoft Media Foundation、Windows Media サービス 9.1 / 2008
• MS09-048 - 緊急: Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723)
  対象: Windows 2000 / XP / Server 2003 / Vista / Server 2008
• MS09-049 - 緊急: ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710
  対象: Windows Vista / Server 2008

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。

関連キーワード: Windows

Microsoft から 2008 年 9 月の月例セキュリティ修正プログラムが公開されました。

• 2008 年 9 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 4 種類です。

• MS08-052 - 緊急: GDI+ の脆弱性により、リモートでコードが実行される (954593)
  対象: GDI+ を含む OS、アプリケーション（極めて広範囲に影響します）

• MS08-053 - 緊急: Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156)
  対象: Windows Media エンコーダー 9

• MS08-054 - 緊急: Windows Media Player の脆弱性により、リモートでコードが実行される (954154)
  対象: Windows Media Player 11

• MS08-055 - 緊急: Microsoft Office の脆弱性により、リモートでコードが実行される (955047)
  対象: Office XP (2002) / 2003 / 2007、OneNote 2007

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

RINS の複数の機械にインストールしてみたところ、Windows 2000 において、MS08-052 修正プログラムの一部がうまくインストールできないことがありました。何がうまくインストールできないかはその機械の状態に依存するようで、一定していません。他の組織においても同様の不具合が発生しているようです。当面は Microsoft Update を利用して修正プログラムを適用していただければよろしいかと思いますが、続報にご注意ください。

関連キーワード: Windows, Office, Windows Media, GDI