特に重要なセキュリティ欠陥・ウイルス情報

Firefox 25.0.1 / ESR 24.1.1 / ESR 17.0.11、Android 版 Firefox 25.0.1、Thunderbird 24.1.1 / ESR 17.0.11 が公開されています。NSS ライブラリに関する 5 件のセキュリティ欠陥が修正されています。

• Firefox (Mozilla.jp)
• Android 版 Firefox (Mozilla.jp)
• Thunderbird (Mozilla.jp)
• Firefox / Thunderbird ESR (Mozilla.jp)
• Firefox セキュリティアドバイザリ (Mozilla)
• Firefox ESR セキュリティアドバイザリ (Mozilla)
• Thunderbird セキュリティアドバイザリ (Mozilla)
• Thunderbird ESR セキュリティアドバイザリ (Mozilla)

Firefox / Thunderbird 利用者は更新してください。

延長サポート版 (ESR) のうち、Firefox / Thunderbird ESR 10 系列のサポートは終了しました。ESR 17 系列もまもなく終了します。新しい延長サポート版である Firefox ESR 24 系列・Thunderbird 24 系列に移行してください。なお Thunderbird 24 からは、通常版と延長サポート版が統合され、区別がなくなりました。

• 最新のテクノロジーを利用したい方には通常版を推奨します。また Google Apps や Office 365 など SaaS 環境を利用する場合も、通常版をご利用ください。
• 安定志向の方には延長サポート版を推奨します。Firefox に対応した商用ソフトウェアを利用している場合も、延長サポート版の方がよいでしょう。

通常版から延長サポート版に移行したい場合は、http://mozilla.jp/business/downloads/ からダウンロードしてインストールしてください。

関連キーワード: Firefox, Thunderbird

Microsoft から 2013 年 11 月の月例セキュリティ更新プログラムが公開されています。19 件のセキュリティ欠陥が修正されています。

• 2013 年 11 月のセキュリティ情報 (Microsoft)
• 2013 年 11 月のセキュリティ情報 (月例) – MS13-088 ～ MS13-095 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

関連キーワード: Windows, Office

2013.11.14 追記

Windows Vista、Office 2003/2007/2010に未修正の欠陥、攻略ファイルも出現 の件は、まだ修正されていません。ひきつづき、Fix it の適用と EMET の併用を推奨します。

2013.12.12 追記

Windows Vista、Office 2003/2007/2010に未修正の欠陥、攻略ファイルも出現 の件は、MS13-096 - Microsoft Graphics Component の脆弱性により、リモートでコードが実行される (2908005) で修正されました。

Fix it 51004 を適用している場合は、MS13-096 更新プログラムの適用後に、Fix it 51005 を適用してください。

　Windows Vista / Server 2008、Office 2000 / 2007 / 2010、Office 互換機能パック、Lync 2010 / 2013 において、未修正のセキュリティ欠陥の存在が明らかとなりました。TIFF 画像の処理に欠陥があり、攻略 TIFF 画像を含んだ電子メールや Web ページ、Office 文書などを開くと、マルウェア（ウイルス）に感染します。既に中東や南アジアにおいて、攻略 Word ファイルが確認されています。

• マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (Microsoft)
• Microsoft製品に未解決の脆弱性、不正なWordを使った攻撃確認 (ITmedia)

更新プログラムは現在開発中です。この欠陥を悪用する攻撃を回避するための Fix it が公開されていますので、適用してください。KB 2896666 にある Fix it 51004 を実行すると、回避コードが有効になります。回避策を実施すると、副作用として TIFF 画像を表示できなくなります。回避コードを無効にしたい場合は、KB 2896666 にある Fix it 51005 を適用してください。

Fix it に加えて、EMET 4.0 を併用すると、より効果的です。

• 脆弱性緩和ツール EMET 4.0 リリース (Microsoft)
• EMET 4 日本語版ユーザー ガイドを公開しました (Microsoft)

関連キーワード: Office

2013.11.14 追記

EMET 4.1 が公開されました。EMET 4.0 の利用者は更新してください。

2013.12.12 追記

この欠陥は MS13-096 - Microsoft Graphics Component の脆弱性により、リモートでコードが実行される (2908005) で修正されました。

Fix it 51004 を適用している場合は、MS13-096 更新プログラムの適用後に、Fix it 51005 を適用してください。

Microsoft から 2013 年 10 月の月例セキュリティ更新プログラムが公開されています。26 件のセキュリティ欠陥が修正されています。

• 2013 年 10 月のセキュリティ情報 (Microsoft)
• 2013 年 10 月のセキュリティ情報 (月例) - MS13-080 ～ MS13-087 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

次の点に注意してください。

• Office for Mac 2011 の更新が含まれています。Mac 版 Office を利用している方も忘れずに更新してください。なお、Office for Mac 2008 は 2013.04.09 にサポートが終了しています。
• .NET Framework の更新が含まれています。更新の適用には時間がかかりますのでご注意ください。更新中に電源を切ったり再起動したりすると不具合の原因になります。気長にお待ちください。詳細については、.NET Framework セキュリティ更新プログラムのインストールに関する注意 を参照してください。

不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡ください。

関連キーワード: Windows Office

iPhone 5s には指紋認証機能「Touch ID」が搭載されていることが話題になっています。しかし、簡易なセキュリティとしてならともかく、強固なセキュリティとしての効果を期待すべきではありません。

• 偽造した指紋で解除できることが明らかになっています：iPhone 5s：「指紋認証ハッキング」は成功したのか (WIRED)。指紋はさまざまな場所から容易に入手できます。
• あなたが寝ているとき恋人や配偶者はiPhone 5s上の秘密情報を盗み見できる…指に鍵はかけられない (techcrunch)。電車や飛行機の中で寝ているとき、あなたの隣の席の人は同様の行為を実施できるでしょう。
• 指紋認証の利用は黙秘権の放棄に等しい、という見解もあります：Apple 社が発表した指紋認証「Touch ID」に対する失望の声 (Sophos)

利用に際しては、十分にご注意ください。