特に重要なセキュリティ欠陥・ウイルス情報

Flash Player 10.0.22.87 および AIR 1.5.1 が公開されています。複数の重大な欠陥が修正されています。

• APSB09-01 - Flash Player update available to address security vulnerabilities (Adobe)

Flash Player 10.0.22.87 はダウンロードページから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

• Windows (Internet Explorer 用)
  • EXE 形式
  • MSI 形式

• Windows (Firefox, Opera, Safari などプラグイン方式用)
  • EXE 形式
  • MSI 形式

• Mac OS X (.dmg ファイル)
  • ユニバーサルバイナリ

• Linux
  • RPM 形式
  • deb 形式
  • tar.gz 形式

既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.0.22.87 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。

• Flash Player のアンインストール手順（Windows） (Adobe)
• How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe)

Flash CS4 Professional については専用の Flash Player が存在するので注意してください。また Flash CS3 Professional と Flex 3 には Debug 版の Flash Player をインストールしてください。これらの入手先については、Advisory を参照してください。

互換性の問題などにより、どうしても Flash Player 10 系列に移行できない場合は、Flash Player 9.0.159.0 に更新してください。こちらから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

• Windows (Internet Explorer 用)
  • EXE 形式
  • MSI 形式

• Windows (Firefox, Opera, Safari などプラグイン方式用)
  • EXE 形式
  • MSI 形式

• Mac OS X (.dmg ファイル)
  • ユニバーサルバイナリ

• Linux
  • RPM 形式
  • tar.gz 形式

AIR 1.5.1 は http://get.adobe.com/jp/air/ から入手してください。

Flash Player はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。学内において昨今流行している USB メモリーウイルスも、最初の感染は Flash Player や Adobe Reader の欠陥を利用して行われた可能性があります。

なお、使用している Flash Player のバージョンは Macromedia Flash Player のバージョンテスト (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player

Internet Explorer 7 (IE7) に重大な欠陥が発見されました。この欠陥を利用したウイルスも登場しています。修正プログラムは現在開発中で、まだ存在しません。

• マイクロソフト セキュリティ アドバイザリ (961051) Internet Explorer の脆弱性によりリモートでコードが実行される (Microsoft)
• IE7の未修正のセキュリティホールへの攻撃を確認（JS_DLOAD.MD） (トレンドマイクロ)
• Exploit-XMLhttp.d (マカフィー)

修正プログラムが配布されるまでは、次の対応を行ってください。

• アンチウイルスソフトウェアのウイルス定義ファイルを最新のものに更新し続けてください。
• IE7 はなるべく使わないようにし、Firefox や Opera、Safari といった、IE7 とは異なる web ブラウザを利用してください。

関連キーワード: Internet Explorer

2008.12.12 追記

この欠陥は、IE7 だけでなく、IE 5.01 / 6 / 8 Beta にも存在することが明らかとなりました。注意してください。

最大の安全性を得るには、上記に加えて以下を実行してください。

• インターネットゾーンにおけるセキュリティレベルを「高」に設定してください。ただし、この設定を行うと、多くのサイトを正常に閲覧できなくなります。また Windows Update や Microsoft Update に失敗するようになるため、「信頼済みサイト」への登録が必要となります。
• OLEDB32.dll を無効に設定してください。
• IE7 を利用している場合で、データ実行防止 (DEP) を有効にできる場合は、有効にしてください。設定できる PC とできない PC とがあります。

いずれについても、設定方法などの詳細は、マイクロソフト セキュリティ アドバイザリ (961051) を参照してください。

2008.12.18 追記

修正プログラムが公開されました。

• MS08-078 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (960714) (Microsoft)

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。

Firefox 2.0.0.17 / 3.0.2 が公開されています。複数の重大な欠陥が修正されています。

• Firefox 2.0.0.17 リリースノート
• Firefox 3.0.2 リリースノート

Firefox 利用者は更新してください。また Firefox 2.x 以前の利用者は、Firefox 3.0.2 への移行を検討してください。Firefox 3.0.2 では Mac OS X 環境での安定性も向上しているようです。上記リリースノートの「既知の問題」欄も参照してください。ダウンロード方法については、上記リリースノートの「ダウンロード」欄を参照してください。

なお、Firefox で修正された欠陥の一部は Thunderbird にも存在し、Thunderbird 2.0.0.17 で修正される予定です。（まだ公開されていません）

関連キーワード: Web ブラウザ, Firefox, Thunderbird

2008.09.29 追記

Thunderbird 2.0.0.17 が公開されました。また、Firefox 3.0.2 のパスワードマネージャに不具合が発見されたため、この問題を修正した Firefox 3.0.3 が緊急公開されています。

• Thunderbird 2.0.0.17 リリースノート
• Firefox 3.0.3 リリースノート

Microsoft から 2008 年 8 月の月例セキュリティ修正プログラムが公開されました。

• 2008 年 8 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 11 種類です。Office for Mac の修正も含まれているので注意してください。

• MS08-041 - 緊急:Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)
  対象: Access 2000 / 2002 (XP) / 2003、Microsoft Access Snapshot Viewer。Snapshot Viewer for Microsoft Access に重大な欠陥の件。

• MS08-042 - 重要: Microsoft Word の脆弱性により、リモートでコードが実行される (955048)
  対象: Word 2002 (XP) / 2003。Microsoft Word 2002 (Word XP) に重大な欠陥の件。

• MS08-043 - 緊急: Microsoft Excel の脆弱性により、リモートでコードが実行される (954066)
  対象: Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、SharePoint Server 2007、Office 2004 for Mac、Office 2008 for Mac

• MS08-044 - 緊急: Microsoft Office フィルターの脆弱性により、リモートでコードが実行される (924090)
  対象: Office 2000 / 2002 (XP) / 2003、Project 2002、Office Converter Pack、Works 8

• MS08-045 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (953838)
  対象: Internet Explorer 5.01 / 6 / 7

• MS08-046 - 緊急: Microsoft Image Color Management System の脆弱性により、リモートでコードが実行される (952954)
  対象: Windows 2000 / XP / Server 2003

• MS08-047 - 重要: IPsec ポリシーの処理の脆弱性により、情報漏えいが起こる (953733)
  対象: Windows Vista / Server 2008

• MS08-048 - 重要: Outlook Express および Windows メール用のセキュリティ更新プログラム (951066)
  対象: Outlook Express 5.5 / 6、Windows メール

• MS08-049 - 重要: イベント システムの脆弱性により、リモートでコードが実行される (950974)
  対象: Windows 2000 / XP / Server 2003 / Vista / Server 2008

• MS08-050 - 重要: Windows Messenger の脆弱性により、情報の漏えいが起こる (955702)
  対象: Windows Messenger 4.7 / 5.1

• MS08-051 - 緊急: Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (949785)
  対象: PowerPoint 2000 / 2002 (XP) / 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Office 2004 for Mac、PowerPoint Viewer 2003

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。RINS の複数の機械にインストールしてみた限りでは、不具合はないようです。

以下の点に注意して下さい。

• Office 2004 for Mac / 2008 for Mac の修正プログラムは、個別にダウンロードして適用する必要があります。
• Office 2000 の修正プログラムは Office Update を利用するか、個別にダウンロードして適用する必要があります。
• Internet Explorer に複数の重大な欠陥の件は MS08-045 では修正されません。Internet Explorer の利用には、ひきつづき注意が必要です。

関連キーワード: Windows, Office, Office for Mac, Web ブラウザ, メールソフト, メッセンジャー

Opera 9.52 が公開されています。複数のセキュリティ欠陥が修正されています。

• Changelog for Opera 9.52 for Windows (Opera)
• ダウンロード (Opera)

Opera を利用している場合は更新してください。

関連キーワード: Web ブラウザ, Opera