特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

『Web ブラウザ』で検索

▼ 2015/07/21(火) Java SE 8 Update 51 公開

Java SE 8 Update 51 が公開されました。25 件のセキュリティ欠陥が修正されています。Java SE 利用者は更新してください。

Java SE Downloads (Oracle)

Java SE 7 のサポートは終了しました。Java SE 7 をご利用の方は、Java SE 8 へ移行してください。Java SE 7 を自動アップデートすると Java SE 8 に更新されます。またインストール中に「Search App By Ask」などの 3rd パーティーソフトのインストールを促されることがありますが、インストールしない事を推奨します。

Java SE 7 Update 10 以降では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。チェックを外すことを強く推奨します。

▼ 2015/07/08(水) Flash Player に未修正のセキュリティ欠陥、既に悪用されている

【マルチOS】

Flash Player に未修正のセキュリティ欠陥が発見されました。最新の Flash Player をインストールしていても攻撃を受けます。監視ツール開発・販売企業 Hacking Team がハッキングされた件で既に悪用されている他、各種の攻略ツールキットにも実装済です。今回は Windows 版 Flash Player だけでなく、Linux 版 Flash Player にも攻略ツールが公開されています。

APSA15-03 - Security Advisory for Adobe Flash Player (Adobe)
伊企業「Hacking Team」の情報漏えい、Flash Playerに存在する未修正の不具合を確認 (トレンドマイクロ)

修正版 Flash Player は、明日（7月9日）公開される予定です。

Adobe は回避方法を明示していませんが、次の方法があります。

Web ブラウザにおいて Flash Player を無効に設定する。以下を参照してください:
Flash Player をアンインストールする。ただし Chrome のような、Flash Player を内蔵している Web ブラウザでは、この方法は取れません。
脆弱性緩和ツール EMET をインストールする。効果が確認されています。

2015.07.09 追記

更新版 Flash Player が公開されました。こちらを参照してください。

2015.07.14 追記

上記とは別の、新たな未修正のセキュリティ欠陥が 2 件発見されました。既に悪用されています。

APSA15-04 - Security Advisory for Adobe Flash Player (Adobe)
新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認 (トレンドマイクロ)
2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起 (JPCERT/CC)

これを受けて、現在、Firefox では、全てのバージョンの Flash Player について、起動可否を利用者に確認するようになった模様です。

Mozilla、ゼロデイ脆弱性のある現行版「Adobe Flash Player」をブロックリストに追加 (窓の杜)

今週中に Flash Player の修正版が公開される予定です。

…と書いている間に、Flash Player 18.0.0.209 が公開された模様です。こちらからダウンロードできます。学内向け案内はこちら

▼ コメント（0件）

▼ トラックバック（0件）

▼ 2015/02/24(火) lenovoの（非 ThinkPad な）ノートパソコン・タブレットにマルウェア Superfish がプリインストールされていた

【ハードウェア】

lenovoの（非 ThinkPad な）ノートパソコン・タブレットにプリインストールされていた Superfish がマルウェア（ウイルス）であることが明らかとなりました。インストールしたままだと、通信を盗聴・改ざんされたり、ニセ Web サイトへ誘導されたりする可能性があります。

Superfishに関するレノボからのお知らせ（更新） (lenovo)

対象となるのは次の機種です。ThinkPad、デスクトップパソコン、スマートフォン、エンタープライズ製品（サーバー、ストレージ）は含まれません。

G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch 
Y シリーズ: Y430P, Y40-70, Y50-70
Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E シリーズ: E10-30

削除ツールが公開されていますので、上記機種を利用している方はダウンロードして実行してください。

Superfishのアンインストール方法 (lenovo)

削除されたことを確認するには、以下を実行してください。

コントロールパネルの「プログラムと機能」に Superfish が無いことを確認する
当該パソコン・タブレット上にインストールされている全ての Web ブラウザにおいて、https://filippo.io/Badfish/ に接続し、危険なルート CA 証明書がインストールされていないかどうかをテストする

▼ 2015/02/06(金) Flash Player 更新版公開（Windows/Mac 用 16.0.0.305 など）

【マルチOS】

Flash Player の更新版が公開されました。18 件のセキュリティ欠陥が修正されています。

APSB15-04 - Security updates available for Adobe Flash Player (Adobe)

次のバージョンが最新となります。

プラットホーム	バージョン
Windows	16.0.0.305 (ActiveX)
Windows	16.0.0.305 (NPAPI プラグイン)
Mac	16.0.0.305
Linux	11.2.202.442
Google Chrome	16.0.0.305
Windows 8 / Server 2012 / RT の Internet Explorer 10	16.0.0.305
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11	16.0.0.305

Flash Player は狙われやすいソフトウェアの1つです。利用している方は速やかに更新してください。

なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新についてを参照してください。

Flash Player for Windows / Mac / Linux

Flash Player 16.0.0.305 / 11.2.202.442 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

プラットホーム		ダウンロード
Windows (16.0.0.305)	Internet Explorer (ActiveX) 用	EXE ファイル、MSI ファイル
Windows (16.0.0.305)	Firefox, Opera など NPAPI プラグイン用	EXE ファイル、MSI ファイル
Mac (16.0.0.305)		DMG ファイル
Linux (11.2.202.442)	RPM ファイル	32bit 版、64 bit 版
Linux (11.2.202.442)	tar.gz ファイル	32bit 版、64 bit 版

原則として Flash Player 16 系列の最新版に更新してください。互換性の問題等によりどうしても更新できない場合にのみ、Flash Player 13 系列の最新版 13.0.0.269 をご利用ください。Flash Player 13.0.0.269 は Archived Flash Player versions からダウンロードできます。また Windows / Mac 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。Linux 用の 13.0.0.269 は存在しません。

プラットホーム		ダウンロード
Windows (13.0.0.269)	Internet Explorer 用	EXE ファイル、MSI ファイル
Windows (13.0.0.269)	Firefox, Opera などプラグイン方式用	EXE ファイル、MSI ファイル
Mac (13.0.0.269)		DMG ファイル

以下にご注意ください。

Flash Player 10.3 系列の更新は 2013.07 で終了しました。11.7 系列の更新も 2014.05 に終了しました。Flash Player 16 あるいは 13 系列に移行してください。

Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用のFlash Player はAdobe Flash Player Support Centerからダウンロードしてください。

Google Chrome に内蔵されている Flash Player は自動的に更新されます。ただし、Chrome 本体とは異なり、すぐには更新されないようです。強制的に更新することもできません。利用者は Flash Player が上記のバージョン以降に更新されていることをchrome://plugins から確認してください。更新されていない場合は、更新されるまで無効に設定することを推奨します。chrome://plugins で確認できる Flash Player のうち、PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefoxなどと共用のプラグイン方式用です。

PPAPI 版の Flash Player を個別にインストールしたい場合は、http://get.adobe.com/flashplayer/otherversions からダウンロードしてください。

Windows 8 / Server 2012 / RT の Internet Explorer 10 専用版の Flash Player の更新、Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 専用版の Flash Playerの更新は Microsoft から提供されます。Microsoft Update や Microsoft Windows Software Update Servicesなどを利用して更新してください。Windows 7 のInternet Explorer 10 / 11 では、専用版ではなくInternet Explorer 汎用版を使用します。

Mac では、16.0.0.305 または 13.0.0.269 より前の Flash Player はブロックされるとApple から案内されています。参照：APPLE-SA-2015-02-05-1 OS X: Flash Player plug-in blocked (Apple)

APSA15-02 - Adobe Flash Playerに関するセキュリティ情報 (Adobe)
Adobe Flashの新たなゼロデイ脆弱性を確認、不正広告に利用 (トレンドマイクロ)
New Adobe Flash zero-day is being exploited in the wild (Symantec)

修正版 Flash Player は、今週中（2月2日の週）に公開される予定です。

Adobe は回避方法を明示していませんが、次の方法があります。

Web ブラウザにおいて Flash Player を無効に設定する。以下を参照してください:
Flash Player をアンインストールする。ただし Chrome のような、Flash Player を内蔵している Web ブラウザでは、この方法は取れません。
脆弱性緩和ツール EMET 5.1 をインストールする。ただし、今回のマルウェアに対する効果は確認されていません。