ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

『Firefox』 で検索

2012/09/24(月) Safari 6.0.1 公開

Mac

Mac OS X Lion (10.7) および Mac OS X Mountain Lion (10.8) 用の Safari 6.0.1 が公開されています。61 件のセキュリティ欠陥が修正されています。

利用者はソフトウェアアップデート を使って更新してください。

Mac OS X Snow Leopard (10.6) 用の Safari の更新は用意されていません。Firefox や Google Chrome、Opera など代替ブラウザの利用を推奨します。

Windows 用の Safari の更新は用意されていません。アンインストールしてください。

関連キーワード: Safari

2012/09/18(火) Internet Explorer に未修正の欠陥、既にウイルスに悪用されている

Windows

Internet Explorer 6、7、8、9 に未修正の欠陥があり、既にウイルスに悪用されていることが明らかとなりました。Internet Explorer を使って攻略 Web ページを閲覧すると、自動的にウイルスが実行されてしまいます。

更新プログラムは現在開発中です。いくつかの回避方法があります。

  • Enhanced Mitigation Experience Toolkit (EMET) を使用する。
  • Internet Explorer のかわりに、FirefoxChromeOpera などの代替ブラウザを使用する。

回避方法は併用されることを推奨します。つまり、EMET をインストール・設定した上で、普段の Web 閲覧には代替ブラウザを使用します。どうしても Internet Explorer を必要とするサイトのみ、Internet Explorer で閲覧します。

今回の欠陥は重大なうえ、既にウイルスに悪用されています。早急な対応をお願いします。

2012.09.19 追記

EMET をインストールすると、次の場所にユーザーズガイドが保存されています。

  • 32-bit OS: C:\Program Files\EMET\EMET User's Guide.pdf
  • 64-bit OS: C:\Program Files (x86)\EMET\EMET User's Guide.pdf

ユーザーズガイドの 13 ページに防護プロファイルを使った設定方法が記載されています。

EMET には 3 種類の防護プロファイルが添付されています。C:\Program Files\EMET\Deployment\Protection Profiles に保存されています。

  • Internet Explorer.xml: Internet Explorer だけを防護する設定です。
  • Office Software.xml: Internet Explorer に加え、Microsoft Office と Adobe Reader / Acrobat を防護する設定です。
  • All.xml: 上記に加え、一般的なアプリケーションを防護する設定です。

これらは次のように使います。

  1. [スタート] をクリックし、[すべてのプログラム] - [Enhanced Mitigation Experience Toolkit] – [EMET 3.0] をクリックします。
    UAC のポップアップが出たら [Yes] をクリックします。EMET の GUI 画面が表示されます。
  2. EMET GUI 画面の [Configure Apps] をクリックします。Application Configuration 画面が表示されます。
    [File] メニューの [Import...] をクリックし、上記した防護プロファイルのいずれかを選びます。
  3. インポートした設定が Application Configuration 画面に表示されますので、ご確認ください。[OK] をクリックして Application Configuration 画面を閉じます。

設定後、指定したアプリケーションを再起動する必要があります。

2012.09.24 追記

更新プログラムが公開されました。

Microsoft UpdateMicrosoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

なお、EMET をインストール・設定した方は、更新プログラム適用後もそのまま続けてご利用ください。

2012/08/30(木) Firefox / Thunderbird 15.0 / 10.0.7 ESR 公開

マルチOS

Firefox 15.0 / 10.0.7 ESR、Android 版 Firefox 15.0、Thunderbird 15.0 / 10.0.7 ESR が公開されています。複数のセキュリティ欠陥が修正されています。

Firefox / Thunderbird 利用者は更新して下さい。

Firefox 3.6.x と Thunderbird 3.1.x のサポートは2012年4月23日で終了しました。通常版 (Firefox / Thunderbird 15.0) か延長サポート版 (Firefox / Thunderbird 10.0.7 ESR) のどちらかに移行して下さい。

  • 安定志向の方には延長サポート版を推奨します。Firefox に対応した商用ソフトウェアを利用している場合も、延長サポート版の方がよいかもしれません。
  • 最新のテクノロジーを利用したい方には通常版を推奨します。

通常版から延長サポート版に移行したい場合は、http://mozilla.jp/business/downloads/ からダウンロードしてインストールして下さい。

関連キーワード: Firefox, Thunderbird

2012.09.18 追記

Firefox 15.0.1 および Thunderbird 15.0.1 が公開されています。プライベートブラウジングモードでの不具合が修正されています。

Firefox / Thunderbird 15.0 利用者は更新して下さい。

2012/08/30(木) Java SE 7 に未修正の欠陥、Web ブラウザで Java を無効にしてください

マルチOS

Java SE 7 系列 (最新の Java SE 7 Update 6 を含む) に未修正の攻略可能な欠陥が発見されました。この欠陥を悪用するマルウェア(ウイルス)も各地で確認されています。

Windows 版・Mac 版・Linux 版のいずれの Java SE 7 にも欠陥があります。

更新プログラムはまだ公開されていません。次のいずれかの方法で回避してください。

  • Java をアンインストールする。
    Javaを使用していないのであれば、これが一番確実な方法です。
  • Web ブラウザで Java を無効化する。
    攻撃の多くは Web 経由ですので、Web ブラウザで Java を無効化すれば、それらを回避できます。Java を使用する Web ページを閲覧したい場合は、たとえば次のように行います。
    • 普段よく使う Web ブラウザでは Java を無効化する。
    • 別の Web ブラウザをインストールしておき、Java を使用する Web ページを閲覧したい場合は、そのブラウザを使用する。
  • Java SE 6 系列 (最新は Java SE 6 Update 34) にダウングレードする。
    Java SE 7 をアンインストールし、Java SE 6 をインストールし直す方法です。現時点では、攻略可能なのは Java SE 7 系列だけですので、この方法も選択肢に入ります。こちらからダウンロードできます。しかし Java SE 6 Update 34 にもセキュリティ欠陥は確認されており、推奨できる方法ではありません。

Web ブラウザで Java を無効化する方法

Internet Explorer (IE)

  1. 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダウンロードし、デスクトップ等に保存します。
  2. 保存した 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダブルクリックして実行します。管理者権限が必要です。
  3. IE を再起動します。

Firefox

Java アプレットを無効にするには (Mozilla) を参照してください。

Safari

Safari で Java Web プラグインを無効にする方法 (Apple) を参照してください。

Google Chrome

プラグイン (Google) の「特定のプラグインを無効にする」を参照して、Java プラグインを無効にしてください。

Opera

  1. アドレスバーに opera:plugins と入力し、「プラグイン」ページを開きます。
  2. 「プラグイン」ページで、Java プラグイン (「Java Platform SE …」) の「無効にする」をクリックします。無効化されると、全体がグレイアウトされます。

2012.09.18 追記

Java SE 7 Update 7 および Java SE 6 Update 35 で修正されています。Mac 版も公開されています。

2012.12.17 追記

Java SE 7 Update 10 では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけでよいです。

2012/08/22(水) Flash Player 11.4.402.265 for Windows / Mac、11.2.202.238 for Linux、AIR 3.4.0.2540 公開

マルチOS

Flash Player 11.4.402.265 for Windows / Mac、11.2.202.238 for Linux、10.3.183.23 for Windows / Mac / Linux、11.1.115.17 for Android 4.x、11.1.111.16 for Android 2.x / 3.x および AIR 3.4.0.2540 が公開されています。6 件のセキュリティ欠陥が修正されています。Linux 版 11.2 は APSB12-18 と同じバージョン (11.2.202.238) のままですので、今回の修正があらかじめ含まれていたと思われます。

Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新して下さい。

Flash Player 11.4.402.265 / 11.2.202.238 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

原則として Flash Player 11.4.402.265 / 11.2.202.238 に更新して下さい。Flash Player 10.3.183.23 は、互換性の問題等によりどうしても更新できない場合にのみ、ご利用下さい。Flash Player 10.3.183.23 は Archived Flash Player versions からダウンロードできます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

Android 用の Flash Player は Google play から入手できます。ただし、2012.08.14 以前に Flash Player をインストール済みだった方しかダウンロードできません。Flash PlayerとAndroidに関する最新情報 をご参照下さい。

AIR は http://get.adobe.com/jp/air/ (PC版) および Google play (Android版) から入手できます。

Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。

Google Chrome に内蔵されている Flash Player は Chrome 21.0.1180.81 for Linux、21.0.1180.83 for Windows、21.0.1180.82 for Mac で修正されています。Chrome は自動的に更新されます。利用者はこのバージョン以降に更新されていることを確認して下さい。

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。

関連キーワード: Flash Player