特に重要なセキュリティ欠陥・ウイルス情報

Firefox のメジャーアップグレード版、Firefox 3.0 が公開されています。全体的な速度の向上やセキュリティを含めた機能の強化がなされています。

• Firefox 3.0 リリースノート (mozilla.jp)
• ダウンロード (mozilla.jp)

手元で試した限りでは、十分安定して動作するようです。

注意点1

利用している機能拡張が Firefox 3.0 に対応している事を確認した上で (対応していない場合は利用できなくなる事を理解した上で) 更新して下さい。全ての機能拡張が Firefox 3.0 に対応しているわけではありません。

注意点2

Windows 版の Firefox 3.0 では、実行ファイルのダウンロードにおいて、コントロールパネルの [インターネット オプション] の設定を参照するようになりました。具体的には、ダウンロード元のサイトが属するゾーン (「インターネットゾーン」「信頼済みサイトゾーン」など) において、「アプリケーションと安全でないファイルの起動」が [無効にする] に設定してある場合、実行ファイルのダウンロードが次のようにブロック (禁止) されます。

標準では、この値は [プロンプトを表示する] になっています。値を変更している場合は注意して下さい。

注意点3

Firefox 3.0 では、実行ファイルをダウンロードすると、インストールされているアンチウイルスソフトウェアを使用してウイルスチェックを行います。しかしこの機能がうまく働かず、結果としてダウンロードされた実行ファイルが消えてしまう事例が報告されています。

• ダウンロードしたファイルが消える？ (もじら組フォーラム)
• ダウンロードマネージャーが機能してない？ (MozillaZine.jp フォーラム)

上記はどちらもトレンドマイクロ社製品に関連するようですが、他社製品でも発生するかもしれません。龍大標準のアンチウイルスソフトウェア、VirusScan Enterprise 8.5i との組み合わせでは何の問題もないようです。

最近、政府組織を騙るコンピュータウイルスが複数種類流通しているようです。龍大においても、防衛省を騙るものの到来を確認しています。

• 日本政府をかたる偽メール、日本企業がターゲット (ITmedia)

龍大で確認できたウイルスは、4月15日16時30分現在、龍大標準のアンチウイルスソフトであるマカフィー VirusScan ではまだ対応できていません。対応するには、Extra.dat ファイルを個別にインストールする必要があります。

• Extra.dat
• Extra.Datファイルのインストール方法 (マカフィー)。注意: VirusScan Enterprise 8.5i と VirusScan Enterprise 8.0i 以前とでは方法が異なります。

これに限らず、From: アドレスを詐称したウイルスメールや spam メールは数多く存在します。怪しいかも? と思ったら、次の事項を確認してみて下さい。

• メールヘッダの Received: 行を確認してみる。上記の防衛省を騙ったメールでは、防衛省 (mod.go.jp) からメールを送った事になっているにも関わらず、Received: 行には IP アドレス 84.18.200.200 から送られた事が記録されていました。84.18.200.200 は英国のとあるプロバイダに与えられたものであるため、防衛省からのメールが送られるのは不自然です。IP アドレスの所属調査には geektools Whois proxy などを利用できます。
• 添付ファイルがあれば VirusTotal で確認してみる。このサイトでは、32 種類ものアンチウイルスソフトウェアを使ったウイルス検査を無料で実施できます。上記の防衛省を騙ったメールの添付ファイルを検査したところ、このような結果が表示されたため、ウイルスである可能性が極めて高いと判断できました。

以上、くれぐれもご注意下さい。

2008.04.21追記

当該ウイルスファイルは DAT5277 において BackDoor-DKI.gen として検出されることを確認しました。

Microsoft Jet Database Engine (以下 Jet) に重大な欠陥が発見されました。攻略 MDB ファイルを直接開いたり、Microsoft Word ファイルを経由して開いたりすると、ウイルスへの感染などの被害が発生する恐れがあります。

• マイクロソフト セキュリティ アドバイザリ (950627) Microsoft Jet Database Engine (Jet) の脆弱性によりリモートでコードが実行される (Microsoft)
• More analysis on the MS Jet Exploits camouflaging as Microsoft Word files (McAfee AVERT Labs Blog)。Word ファイルを経由する場合についての技術詳細が解説されています。

欠陥のある Jet (バージョン 4.0.9505.0 未満) を含むのは次の Windows です。

• Windows Server 2003 SP1 以前
• Windows XP SP2 以前
• Windows 2000 SP4 以前

次の Windows にはこの欠陥はありません。

• Windows Server 2008
• Windows Server 2003 SP2
• Windows Vista

この欠陥の修正プログラムはまだありません。セキュリティ アドバイザリ 950627 には回避方法として、CACLS コマンドを使って msjet40.dll ファイルへのアクセスを制限する方法が述べられています。Jet を利用していない場合にはアクセスを制限してもよいでしょう。

龍大標準のアンチウイルスソフト VirusScan では、ウイルス定義ファイル DAT バージョン 5256 において既知の攻略ファイルに対応しています。これに限らず、ウイルス定義ファイルは常に最新のものに更新して下さい。

Adobe Reader 8.1.2 にひきつづき、Acrobat 8.1.2 が公開されています。セキュリティ欠陥を含む複数の問題が修正されています。

• APSA08-01 - Security update available for Adobe Reader and Acrobat 8 (Adobe)
• APSA08-01 - Adobe ReaderとAcrobat 8のセキュリティアップデート公開 (Adobe)

Acrobat 8.x を利用している場合は 8.1.2 に更新してください。

• Adobe Acrobat 8.1.2 Professional and Standard update (Windows) - multiple languages (Adobe)
• Adobe Acrobat 8.1.2 Professional update (Mac OS X) - multiple languages (Adobe)
• Adobe Acrobat 3D 8.1.2 update - multiple languages (Adobe)

欠陥の詳細については以下を参照してください。

• Adobe Reader Security Provider Unsafe Libary Path Vulnerability (iDefense)
• Adobe Reader and Acrobat JavaScript Insecure Method Exposure Vulnerability (iDefense)
• Adobe Reader and Acrobat Multiple Stack-based Buffer Overflow Vulnerabilities (iDefense)

これらの欠陥は Adobe Reader 7.x / Acrobat 7.x にも影響しますが、Adobe Reader 7.x / Acrobat 7.x 用の修正プログラムはまだ公開されていません。Adobe はこれら用の修正プログラムを開発中だと説明していますが、いつまで待てばよいのかは全くわかりません。これらの欠陥を攻略する PDF ファイルが既に流通しているとの報告もあり、現時点における Adobe Reader 7.x / Acrobat 7.x の利用は全く推奨できません。

• Adobe Reader exploit in the wild (SANS ISC)

どうしても Adobe Reader 7.x / Acrobat 7.x を利用し続けざるを得ない場合は特に、PDF ファイルの出所には十分に注意してください。