特に重要なセキュリティ欠陥・ウイルス情報

Firefox の最新版 3.5 に重大な欠陥が発見されました。修正版は現在開発中で、まだありません。

• Critical JavaScript vulnerability in Firefox 3.5 (Mozilla Security Blog)

Firefox 3.5 の Just-in-time (JIT) JavaScript コンパイラの欠陥です。そのため、JIT を無効に設定することで回避できます。

1. ブラウザのロケーションバーに about:config と入力し [enter]
2. フィルタボックスに jit と入力
3. javascript.options.jit.content をダブルクリックして false に

なお、この欠陥は Firefox 3.0.x には存在しません。

関連キーワード: Firefox

2009.07.19 追記

Firefox 3.5.1 が公開されました。この欠陥が修正されています。

• Firefox 3.5.1 リリースノート
• Firefox ダウンロード

Mac OS X 用の Java が更新されています。既知の複数の重大な欠陥が修正されています。

• About the security content of Java for Mac OS X 10.5 Update 4 (Apple)
• About the security content of Java for Mac OS X 10.4 Release 9 (Apple)

Mac OS X 利用者は、ソフトウェアアップデート を使って更新してください。

関連キーワード: Java

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

• Adobe Reader/Acrobatに新たな脆弱性、回避策はJavaScript無効化 (Internet Watch)

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順で無効にできます。

1. Adobe Reader を起動します。
2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正版は現在開発中です。

関連キーワード: Acrobat, Adobe Reader

2009.05.14 追記

修正版の Acrobat / Adobe Reader が公開されました。次のバージョンで修正されています。

• Acrobat 7.1.2 / 8.1.5 / 9.1.1
• Adobe Reader 7.1.2 / 8.1.5 / 9.1.1

Acrobat / Adobe Reader 7.x / 8.x / 9.x については、内蔵のアップデート機能を使うか、あるいは個別に更新プログラムをダウンロードして適用するかしてください。ダウンロード先については以下を参照してください。

• APSB09-06 - Security Updates available for Adobe Reader and Acrobat (Adobe)

上記よりも古いバージョン（6.x 以前）を使用している場合は、一旦それを削除し、最新版の Acrobat / Adobe Reader をインストールしてください。古いバージョンの、あるいは未修正の Acrobat / Adobe Reader をインストールしたままにしておくと、コンピューターウイルスに感染する可能性がとても高くなります。

Java Platform, Standard Edition (Java SE) の更新版が公開されています。複数の重大なセキュリティ欠陥が修正されています。

• JDK and JRE 6 Update 13: リリースノート、ダウンロード
• JDK and JRE 5.0 Update 18: リリースノート、ダウンロード
• SDK and JRE 1.4.2_20: サービス終了 (EoL) のため、一般には公開されていません
• SDK and JRE 1.3.1_25: サービス終了 (EoL) のため、一般には公開されていません

Java SE を利用している場合は、最新のリリースにアップデートしてください。また、以下の点に注意してください。

• 特に支障がなければ、最新バージョンの Java SE (JDK and JRE 6 Update 13) を利用してください。
• 複数のバージョンの Java SE をインストールしている場合は、それぞれのバージョンについて最新のリリースにアップデートしてください。
• アップデート後、古いリリースをアンインストールしてください。古いリリースは自動的にはアンインストールされません。古いリリースをインストールしたままにすると、セキュリティ欠陥も残り続けます。

たとえば、お使いのコンピュータに JRE 6 Update 7 と JRE 5.0 Update 16 がインストールされている場合、次のように更新して下さい。

• まず JRE 6 Update 13 と JRE 5.0 Update 18 をインストールします。
• 動作確認後、JRE 6 Update 7 と JRE 5.0 Update 16 をアンインストールします。

EoL を過ぎた製品 (SDK and JRE 1.3.x / 1.4.x) については、原則としてアンインストールして下さい。

関連キーワード: Java

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

• APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat (Adobe)
• Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行 (IBM ISS)

この欠陥を利用するウイルスも既に登場しています。

• Trojan.Pidief.E (Symantec)
• TROJ_PIDIEF.IN (トレンドマイクロ)
• Exploit-PDF.i (McAfee)

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順となります。

1. Adobe Reader を起動します。
2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正プログラムは現在開発中です。

• Acrobat / Adobe Reader 9 用の修正プログラムは 2009.03.11 (米国時間) にリリースされる予定です。
• その後、Acrobat / Adobe Reader 8 用の修正プログラムの開発がおこなわれます。
• さらにその後、Acrobat / Adobe Reader 7 用の修正プログラムの開発がおこなわれます。

Acrobat / Adobe Reader 8 以前を利用している場合は、あらかじめ、最新版である Acrobat / Adobe Reader 9 へアップグレードしておくことを強く推奨します。

関連キーワード: Acrobat、Adobe Reader

2009.03.12 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 9.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 9 利用者はアップデートしてください。

• APSB09-03: Security Updates available for Adobe Reader 9 and Acrobat 9 (Adobe)

現時点での、その他のバージョンの更新版の公開予定は次のとおりです。

• Acrobat / Adobe Reader 7.x / 8.x の更新版は 2009.03.18 に登場予定
• Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定

その後、JavaScript を無効にしただけではこの欠陥を利用した攻撃を防ぐことはできないことが明らかになっています。どうしても旧版の Acrobat / Adobe Reader を使わなければならない場合は、PDF ファイルの扱い、特に外部から送付された PDF ファイルの扱いには十分に注意してください。

2009.03.23 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 8.1.4 / 7.1.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 8.x / 7.x 利用者はアップデートしてください。

• APSB09-04: Security Updates available for Adobe Reader and Acrobat (Adobe)