特に重要なセキュリティ欠陥・ウイルス情報

2011 年 2 月から 2013 年 12 月までの間に販売された MacBook Pro において、ビデオ (画像) が歪む、画面に何も表示されない、システムが突然再起動するといった問題が起きるかもしれないことが判明しました。2015 年 2 月 27 日から無償修理の手続きが始まります。

• MacBook Pro ビデオの問題に対するリペアエクステンションプログラム (Apple)

MacBook Pro を利用している方は、確認の上、必要な処置を行ってください。

lenovoの（非 ThinkPad な）ノートパソコン・タブレットにプリインストールされていた Superfish がマルウェア（ウイルス）であることが明らかとなりました。インストールしたままだと、通信を盗聴・改ざんされたり、ニセ Web サイトへ誘導されたりする可能性があります。

• Superfishに関するレノボからのお知らせ（更新） (lenovo)

対象となるのは次の機種です。ThinkPad、デスクトップパソコン、スマートフォン、エンタープライズ製品（サーバー、ストレージ）は含まれません。

G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch 
Y シリーズ: Y430P, Y40-70, Y50-70
Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E シリーズ: E10-30

削除ツールが公開されていますので、上記機種を利用している方はダウンロードして実行してください。

• Superfishのアンインストール方法 (lenovo)

削除されたことを確認するには、以下を実行してください。

1. コントロールパネルの「プログラムと機能」に Superfish が無いことを確認する
2. 当該パソコン・タブレット上にインストールされている全ての Web ブラウザにおいて、https://filippo.io/Badfish/ に接続し、危険なルート CA 証明書がインストールされていないかどうかをテストする

関連キーワード: Superfish

Microsoft から 2015 年 2 月の月例セキュリティ更新プログラムが公開されています。56 件のセキュリティ欠陥が修正されています。内 41 件は Internet Explorer (IE) の欠陥です。

• 2015 年 2 月のマイクロソフト セキュリティ情報の概要 (Microsoft)
• 2015 年 2 月のセキュリティ情報 (月例) - MS15-009 ～ MS15-017 (Microsoft)

Windows Update / Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• Windows Server 2003・Vista・Server 2008 に MS15-010 更新プログラム 3013455 を適用すると、特定の状況においてフォント品質が低下する不具合が発生するそうです。修正版や Fix it 等はまだ公開されていません。

• IE 11 に MS15-009 更新プログラム 3021952 をインストールすると 3023607 更新プログラムが同時にインストールされますが、Windows 8.1・Server 2012 R2 + Cisco AnyConnect Secure Mobility Client の環境において VPN 接続に失敗する不具合が発生するそうです。こちらについては Fix it が公開されています。

• セキュリティ更新プログラムと同時に、自動更新で配布されている非セキュリティな更新プログラムについて：

• PowerPoint 2013 用の 2920732 更新プログラムを Windows RT 上の Office Home and Student 2013 RT に適用すると PowerPoint 2013 が起動しなくなる不具合が発生しました。これについては、修正版が 2956149 更新プログラムとして公開されています。
• Visual Studio 2010・2012・2013 用の Visual Studio 2010 Tools for Office Runtime のアップデートロールアップ 3001652 を適用するとインストールが完了しない不具合が発生しました。これについては、修正版が再公開されています。最新版を適用してください。

関連キーワード: Windows, Office

2015.02.24 追記

Windows Server 2003・Vista・Server 2008 に MS15-010 更新プログラムを適用するとフォント品質が低下する問題の更新プログラム 3037639 が公開されました。問題が発生する場合は、ダウンロードして適用してください。

Flash Player の更新版が公開されました。18 件のセキュリティ欠陥が修正されています。

• APSB15-04 - Security updates available for Adobe Flash Player (Adobe)

次のバージョンが最新となります。

Flash Player は狙われやすいソフトウェアの1つです。利用している方は速やかに更新してください。

なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。

Flash Player for Windows / Mac / Linux

Flash Player 16.0.0.305 / 11.2.202.442 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

原則として Flash Player 16 系列の最新版に更新してください。互換性の問題等により どうしても更新できない場合にのみ、Flash Player 13 系列の最新版 13.0.0.269 をご利用ください。Flash Player 13.0.0.269 は Archived Flash Player versions からダウンロードできます。また Windows / Mac 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。Linux 用の 13.0.0.269 は存在しません。

以下にご注意ください。

• Flash Player 10.3 系列の更新は 2013.07 で終了しました。11.7 系列の更新も 2014.05 に終了しました。Flash Player 16 あるいは 13 系列に移行してください。

• Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用のFlash Player はAdobe Flash Player Support Centerからダウンロードしてください。

• Google Chrome に内蔵されている Flash Player は自動的に更新されます。ただし、Chrome 本体とは異なり、すぐには更新されないようです。強制的に更新することもできません。利用者は Flash Player が上記のバージョン以降に更新されていることをchrome://plugins から確認してください。更新されていない場合は、更新されるまで無効に設定することを推奨します。chrome://plugins で確認できる Flash Player のうち、PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefoxなどと共用のプラグイン方式用です。

• PPAPI 版の Flash Player を個別にインストールしたい場合は、http://get.adobe.com/flashplayer/otherversions からダウンロードしてください。

• Windows 8 / Server 2012 / RT の Internet Explorer 10 専用版の Flash Player の更新、Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 専用版の Flash Playerの更新は Microsoft から提供されます。Microsoft Update や Microsoft Windows Software Update Servicesなどを利用して更新してください。Windows 7 のInternet Explorer 10 / 11 では、専用版ではなくInternet Explorer 汎用版を使用します。

• Mac では、16.0.0.305 または 13.0.0.269 より前の Flash Player はブロックされるとApple から案内されています。参照：APPLE-SA-2015-02-05-1 OS X: Flash Player plug-in blocked (Apple)

Flash Player for Android

Android 用の Flash Player の更新は終了しました。詳細は、Archived Flash Player versions の Flash Player for Android 4.0 archives と Flash Player for Android 2.x and 3.x archives を参照してください。

Flash Player バージョン確認方法

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player

Flash Player にまたしても未修正のセキュリティ欠陥が発見されました。既に広範囲に悪用されています。最新バージョンである 16.0.0.296 にもこの欠陥があります。

• APSA15-02 - Adobe Flash Playerに関するセキュリティ情報 (Adobe)
• Adobe Flashの新たなゼロデイ脆弱性を確認、不正広告に利用 (トレンドマイクロ)
• New Adobe Flash zero-day is being exploited in the wild (Symantec)

修正版 Flash Player は、今週中（2月2日の週）に公開される予定です。

Adobe は回避方法を明示していませんが、次の方法があります。

• Web ブラウザにおいて Flash Player を無効に設定する。以下を参照してください:
  • Internet Explorer
  • Chrome
  • Firefox
  • Safari
• Flash Player をアンインストールする。ただし Chrome のような、Flash Player を内蔵している Web ブラウザでは、この方法は取れません。
• 脆弱性緩和ツール EMET 5.1 をインストールする。ただし、今回のマルウェアに対する効果は確認されていません。

■ 2015.02.06 追記

Flash Player の更新版が公開され、修正されました。