▼ 2012/06/15(金) Java SE 7 Update 5 / Java SE 6 Update 33 公開
Java SE 7 Update 5 および Java SE 6 Update 33 が公開されています。14 件のセキュリティ欠陥が修正されています。
- Java SE Download (Oracle)
- Java SE 7 Update 5 Update Release Notes (Oracle)
- Java SE 6 Update 33 Update Release Notes (Oracle)
Java は最も狙われているソフトウェアです。利用者は速やかに更新してください。Windows 上にインストール済みの Java を更新する場合は、Java コントロールパネルの [更新] タブから [今すぐ更新] するのが便利です。この場合、RINS で確認した限りでは、Windows XP では Java SE 6 Update 33 に、Windows Vista / 7 では Java SE 7 Update 5 に更新されるようです。この動作が適切でない場合は、更新版を個別にダウンロードして実行して下さい。利用している Java のバージョンが分からない場合は、狙われる Java、最新版へ更新をを参考にしてください。
最新版をインストールしても、旧版が削除されずに残ることがあります。その場合は、正常動作を確認の後、旧版を手動にて削除 (アンインストール) してください。Java が不要な場合は、Java そのものを削除することを推奨します。
なお、Java SE 5.0 のサポートは 2009.11.03 をもって終了しています。Java SE 5.0 以前を利用している場合は、削除の上、Java SE 7 Update 5 または 6 Update 33 に移行して下さい。
Mac 用の Java SE 6 Update 33 も公開されています。
ソフトウェアアップデートなどを利用して適用してください。
関連キーワード: Java
- TB-URL(確認後に公開) http://133.83.35.83/blog/vuln/0472/tb/
▼ 2012/06/15(金) Microsoft XML コアサービス 3.0〜6.0 の欠陥について
Microsoft XML コアサービス 3.0〜6.0 に、サイバー攻撃を招く重大な欠陥が発見されました。これを悪用した高度な攻撃も既に確認されています。
- マイクロソフト セキュリティ アドバイザリ (2719615) XML コアサービスの脆弱性により、リモートでコードが実行される (Microsoft)
- 'State-sponsored attackers' using IE zero-day to hijack GMail accounts (ZDNet)
更新プログラムはまだ開発中ですが、この攻撃を防ぐための Microsoft Fix it 50897 が公開されています。直ちに適用して下さい。また EMET v3.0 を併用する事で、より防御力が高まります (ダウンロード)。
2012.07.13 追記
Microsoft XML コアサービス 3.0、4.0、6.0 については更新プログラムが公開されました。
しかし XML コアサービス 5.0 についてはまだ更新プログラムが用意されておらず、Fix it 50908 の適用が必要です。具体的には、Office 2003 / 2007 を利用している場合に Fix it 50908 の適用が必要となります。また上記した Fix it 50897 については、MS12-043 (2722479) 更新プログラム適用後に、Fix it 50898 を適用して無効にしてください。
まとめると、次のようになります。
- MS12-043 - 緊急: XML コアサービスの脆弱性により、リモートでコードが実行される (2722479) 更新プログラムを、Microsoft Update などを利用して適用します。
- Microsoft Fix it 50897 を適用していた場合には、Fix it 50898 を適用して無効にします。Fix it は KB2722479 からダウンロードできます。
- Office 2003 または Office 2007 を利用している場合は、Fix it 50908 を適用します。Fix it は KB2722479 からダウンロードできます。
- さらに、EMET v3.0 を併用すると、より防御力が高まります (ダウンロード)。
2012.08.21 追記
2012.08.15 に、Microsoft XML コアサービス 5.0 の更新プログラムが公開されました。Office 2003 / 2007 利用者は適用してください。
Fix it 50908 を適用していた場合は、更新プログラム適用後に Fix it 50909 を適用してください。Fix it は KB2722479 からダウンロードできます。
- TB-URL(確認後に公開) http://133.83.35.83/blog/vuln/0471/tb/
▼ 2012/06/15(金) Microsoft 2012 年 6 月の月例セキュリティ更新
Microsoft から 2012 年 6 月の月例セキュリティ更新プログラムが公開されています。27 件のセキュリティ欠陥の修正を含んでいます。
- 2012 年 6 月のセキュリティ情報 (Microsoft)
- 2012 年 6 月のセキュリティ情報 (月例) (日本のセキュリティチーム)
Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。
以下の点に注意してください。
- .NET Framework の更新が含まれています。インストールには時間がかかるのでご注意ください。更新中に電源を切ったり再起動したりすると不具合の原因になります。気長にお待ちください。詳細については、.NET Framework セキュリティ更新プログラムのインストールに関する注意 を参照してください。
RINS の複数の Windows 機に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡ください。
関連キーワード: Windows
- TB-URL(確認後に公開) http://133.83.35.83/blog/vuln/0470/tb/
▼ 2012/06/15(金) iTunes 10.6.3 公開
iTunes 10.6.3 が公開されています。2 件のセキュリティ欠陥の修正を含んでいます。
- iTunes 10.6.3 (Apple)
- About the security content of iTunes 10.6.3 (Apple)
iTunes 利用者は更新してください。
関連キーワード: iTunes
- TB-URL(確認後に公開) http://133.83.35.83/blog/vuln/0469/tb/
▼ 2012/06/15(金) Flash Player 11.3.300.257 / 11.2.202.236 / 10.3.183.20、AIR 3.3.0.3610 公開
Flash Player 11.3.300.257 for Windows / Mac、11.2.202.236 for Linux、10.3.183.20 for Windows / Mac / Linux、Flash Player 11.1.115.9 for Android 4.x、Flash Player 11.1.111.10 for Android 2.x / 3.x、AIR 3.3.0.3610 が公開されています。7 件のセキュリティ欠陥が修正されています。
Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新して下さい。
Flash Player 11.3.300.257 / 11.2.202.236 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。
- Windows 用 11.3.300.257 (Internet Explorer 用): EXE ファイル、MSI ファイル
- Windows 用 11.3.300.257 (Firefox, Opera, Safari などプラグイン方式用): EXE ファイル、MSI ファイル
- Mac OS X 用 11.3.300.257: DMG ファイル
- Linux 用 11.2.202.236
Flash Player 11.3 では 32bit 版・64bit 版の区別が無くなりました(統合されました)。
原則として Flash Player 11.3.300.257 / 11.2.202.236 に更新して下さい。Flash Player 10.3.183.20 は、互換性の問題等によりどうしても更新できない場合にのみ、ご利用下さい。Flash Player 10.3.183.20 は Archived Flash Player versions からダウンロードできます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。
- Windows (Internet Explorer 用): EXE ファイル、MSI ファイル
- Windows (Firefox, Opera, Safari などプラグイン方式用): EXE ファイル、MSI ファイル
- Mac OS X: DMG ファイル
- Linux: rpm ファイル、tar.gz ファイル
なお、現在、Windows 版の Firefox と Flash Player 11.3 との間でさまざまな不具合が発生しています。ご注意下さい。Firefox を利用している場合は、一時的に 10.3.183.20 にダウングレードするのが最もてっとり早い解決方法です。
- Flash Player の最新版で発生しているいくつかの問題について (Mozilla Japan ブログ)
- 「Firefox」と「Adobe Flash Player 11.3」の相性問題、Adobeが解決方法を公開 (窓の杜)
Android 用の Flash Player は Google play から入手できます。AIR は http://get.adobe.com/jp/air/ (PC版) および Google play (Android版) から入手できます。
Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。
Google Chrome に内蔵されている Flash Player は Chrome 19.0.1084.56 で修正されています。Chrome は自動的に更新されます。利用者はこのバージョン以降に更新されていることを確認して下さい。
現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。
関連キーワード: Flash Player
2012.06.22 追記
Windows 版のプラグイン方式用 Flash Player、Firefox 上での不具合を修正した 11.3.300.262 が公開されました。
2012.07.16 追記
安定性が向上した、バージョン 11.3.300.265 が公開されました。
- TB-URL(確認後に公開) http://133.83.35.83/blog/vuln/0468/tb/