セキュリティホール memo

Last modified: Tue May 31 19:37:42 2016 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

SQL Server 2005 のサポートは 2016.04.12 で終了致しました。長らくのご愛顧、本当にありがとうございました。(BGM: 蛍の光)

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2016.05.31

いろいろ (2016.05.31)
(various)

Jetpack (WordPress プラグイン)

PHP

  • http://php.net/。 7.0.7、5.5.36、5.6.22 が 2016.05.26 付で出ています。

Perl


2016.05.30


2016.05.27

いろいろ (2016.05.27)
(various)

バッファロー WZR-S600DHP、WZR-600DHP3

VMware vCenter Server


2016.05.26

トレンドマイクロ方面
(トレンドマイクロ, 2016.05.09)

ウイルスバスター クラウド 8、10

ウイルスバスター コーポレートエディション 11.0、ビジネスセキュリティ 9.0、ビジネスセキュリティサービス 5.x

Chrome Stable Channel Update
(Google, 2016.05.25)

 Chrome 51.0.2704.63 が stable に。42 件のセキュリティ修正を含む。


2016.05.25

JVNTA#91048063 - WPAD と名前衝突の問題
(JVN, 2016.05.24)

 組織内などで ".corp" のような勝手 TLD を使っている場合に、 WPAD が有効になっているクライアントが組織外 (例: 自宅) に持ち出されたとする。 組織外で wpad.subdomain.corp を参照した場合に、".corp" という gTLD が実際に存在し (あるいは攻撃者が用意し)、http://wpad.subdomain.corp/wpad.dat を取得できてしまうと、中間介入 (MitM) 攻撃が実現されてしまう。

 回避方法としては、WPAD を使わない、勝手 TLD を使わない、など。

 関連:


2016.05.24

いろいろ (2016.05.24)
(various)

Adobe Connect

Go

OpenNTPD

Cisco Prime Infrastructure、Cisco Evolved Programmable Network Manager

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)


2016.05.23


2016.05.20


2016.05.19

Apple 方面
(apple, 2016.05.16)

 5/17 に書き忘れた分。

 関連:

いろいろ (2016.05.19)
(various)

Adobe

squid

Moodle

cURL

VMware

  • VMSA-2016-0005 - VMware product updates address critical and important security issues (VMware, 2016.05.17)。 vCenter Server 5.[015] / 6.0、 vCloud Director 5.[56].x / 8.0.x, vSphere Replication 5.[68].x / 6.[01].x, vRealize Operations Manager (非アプライアンス版) 6.x, VMware Workstation for Windows 11.x, VMware Player for Windows 7.x に影響。 CVE-2016-3427 CVE-2016-2077

    ほとんどには patch がある。 vRealize Operations Manager (非アプライアンス版) 6.x については patch はないが回避策がある。 vSphere Replication 6.1.x for Linux だけ patch も回避策もない。 VMware Workstation for Windows は 11.1.3, VMware Player for Windows は 7.1.3 で修正。

Cisco Web Security Appliance に複数の欠陥
(cisco, 2016.05.18)

 出てます。

 Cisco AsyncOS Software 9.0.1-162 で修正されている。また 9.1 系列には、これらの欠陥はない。


2016.05.18

追記

Firefox 46.0 / ESR 38.8.0 公開 (2016.05.06)

 Firefox ESR 38 系列は 38.8 で終了なのですね。ESR 45.1.0ESR 45.1.1 も出てました。


2016.05.17

About the security content of iTunes 12.4
(Apple, 2016.05.16)

 Windows 版 iTunes に 1 件の欠陥。信頼できないディレクトリで iTunes インストーラーを実行すると、任意のコードが実行される。 CVE-2016-1742

 iTunes 12.4 で修正されている。

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ
(gigazine, 2016.05.17)

 これはひどい。これはやっちゃ駄目な奴。そうまでして Windows 10 にさせたいか Microsoft。

2016.05.24 追記:

 Windows 10自動アップデートを抑止する公式ツールが提供開始、通知アイコンの非表示も可能 (Internet Watch, 2016.05.23)。究極命題バータリー。

追記

APSB16-15 - Security updates available for Adobe Flash Player (2016.05.13)

 Windows 8.1 / 10 内蔵版についても 21.0.0.242 が公開されていることを確認した。 手元の WSUS だと 2016.05.14 未明の同期で取得できていた。 MS16-064 も 2016.05.14 付で更新されている。

V2.0 (2016/05/14):このセキュリティ情報を更新し、Adobe Security Bulletin APSB16-15 に含まれる脆弱性を解決する更新プログラム 3163207 のリリースをお知らせします。更新プログラム 3163207 は、以前このセキュリティ情報で提供していた更新プログラムを置き換えます (更新プログラム 3157993)。マイクロソフトは、Adobe Security Bulletin APSB16-15 で説明されている脆弱性からシステムを保護するために、更新プログラム 3163207 を直ちにインストールすることを強く推奨します。

 Windows 8.1 用 Adobe Flash Player のセキュリティ更新プログラム (KB3163207) など。 Flash Player 21.0.0.241 と 21.0.0.242 がどのように異なるのかは不明。

SYM16-008 - Advisories Relating to Symantec Products - Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation
(Symantec, 2016.05.16)

 Symantec Antivirus Engine に欠陥。PE ヘッダの処理においてメモリ破壊が発生する欠陥があり、攻略 PE ヘッダを持つファイルを処理すると kernel crash を誘発する。 詳細:

 Symantec Anti-Virus Engine v 20151.1.1.4 で修正されている。LiveUpdate で更新される。


2016.05.13

追記

APSA16-02 - Security Advisory for Adobe Flash Player (2016.05.11)

  APSB16-15 - Security updates available for Adobe Flash Player (Adobe, 2016.05.12) 公開。基本 21.0.0.242。

APSB16-15 - Security updates available for Adobe Flash Player
(Adobe, 2016.05.12)

 Flash Player 21.0.0.242 等公開。25 件のセキュリティ欠陥を修正。

プラットホーム バージョン Priority rating
Desktop Runtime (Windows, Mac) 21.0.0.242 1
Extended Support Release (Windows, Mac) 18.0.0.352 1
Google Chrome 21.0.0.242 1
Windows Server 2012 の Internet Explorer 10 21.0.0.241 21.0.0.242 1
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 21.0.0.241 21.0.0.242 1
Windows 10 の Internet Explorer 11 / Edge 21.0.0.241 21.0.0.242 1
Linux 11.2.202.621 3
AIR Desktop Runtime 21.0.0.215 3
AIR SDK 21.0.0.215 3
AIR SDK & Compiler 21.0.0.215 3
AIR for Android 21.0.0.215 3

 APSB16-15 では Windows 8.1 / 10 内蔵版は 21.0.0.242 となっているのだけど、 Adobe Flash Playerのバージョン (Adobe) によると 21.0.0.241 だし、実際に手元の Windows 8.1 でも 21.0.0.241 だ。

2016.05.17 追記:

 Windows 8.1 / 10 内蔵版についても 21.0.0.242 が公開されていることを確認した。 手元の WSUS だと 2016.05.14 未明の同期で取得できていた。 MS16-064 も 2016.05.14 付で更新されている。

V2.0 (2016/05/14):このセキュリティ情報を更新し、Adobe Security Bulletin APSB16-15 に含まれる脆弱性を解決する更新プログラム 3163207 のリリースをお知らせします。更新プログラム 3163207 は、以前このセキュリティ情報で提供していた更新プログラムを置き換えます (更新プログラム 3157993)。マイクロソフトは、Adobe Security Bulletin APSB16-15 で説明されている脆弱性からシステムを保護するために、更新プログラム 3163207 を直ちにインストールすることを強く推奨します。

 Windows 8.1 用 Adobe Flash Player のセキュリティ更新プログラム (KB3163207) など。 Flash Player 21.0.0.241 と 21.0.0.242 がどのように異なるのかは不明。

いろいろ (2016.05.13)
(various)

7-Zip

Jenkins

Symantec Messaging Gateway

hostapd、wpa_supplicant

Mercurial


2016.05.12

追記

APSA16-02 - Security Advisory for Adobe Flash Player (2016.05.11)

 Chrome 50.0.2661.102 が公開された。 内蔵 Flash Player も 21.0.0.242 に更新されており、本件が修正されていると考えられる。

Chrome Stable Channel Update
(Google, 2016.05.11)

 Chrome 50.0.2661.102 公開。5 件のセキュリティ修正を含む。内蔵 Flash Player も 21.0.0.242 に更新されており、 APSA16-02 - Security Advisory for Adobe Flash Player の件が修正されていると考えられる。


2016.05.11

2016 年 5 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2016.05.11)

 出ました。MS16-063 が欠番になってます。

IE / Edge 更新 (MS16-051MS16-052)

 こんなかんじ。

CVE 概要 IE 9 IE 10 IE 11 IE 11 (Win10) Edge 悪用可能性評価
CVE-2016-0186 スクリプト エンジンのメモリ破損の脆弱性 1
CVE-2016-0187 スクリプト エンジンのメモリ破損の脆弱性 1
CVE-2016-0188 セキュリティ機能のバイパス 3
CVE-2016-0189 スクリプト エンジンのメモリ破損の脆弱性 0
CVE-2016-0191 スクリプト エンジンのメモリ破損の脆弱性 1
CVE-2016-0192 メモリの破損の脆弱性 1
CVE-2016-0193 スクリプト エンジンのメモリ破損の脆弱性 1
CVE-2016-0194 情報漏えいの脆弱性 2

 関連:

MS16-053 - 緊急: JScript および VBScript 用の累積的なセキュリティ更新プログラム (3156764)

 Windows Vista / Server 2008 / Server 2008 R2 Server Core に欠陥。 スクリプト エンジンに 2 件の欠陥があり、IE を介して攻撃を受ける。 上記の CVE-2016-0187 CVE-2016-0189

MS16-054 - 緊急: Microsoft Office 用のセキュリティ更新プログラム (3155544)

 Office 2007 / 2010 / 2013 / 2016、Office for Mac 2011、 Office 2016 for Mac、Office 互換機能パック SP3、Word Viewer、 SharePoint Server 2010、Office Web Apps 2010 に 4 件の欠陥。

CVE 概要 悪用可能性評価
CVE-2016-0126 メモリ破損の脆弱性 2
CVE-2016-0140 1
CVE-2016-0198 2
CVE-2016-0183 Office Graphics の RCE の脆弱性 1

MS16-055 - 緊急: Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3156754)

 Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。

CVE 概要 悪用可能性評価
CVE-2016-0168 Windows Graphics コンポーネントの情報漏えいの脆弱性 2
CVE-2016-0169 1
CVE-2016-0170 Windows Graphics コンポーネントの RCE の脆弱性 2
CVE-2016-0184 Direct3D の解放後使用の脆弱性 1
CVE-2016-0195 Windows Imaging Component のメモリ破損の脆弱性 2

MS16-056 - 緊急: Windows Journal 用のセキュリティ更新プログラム (3156761)

 Windows Vista、7、8.1、RT 8.1、10 に欠陥。 Windows Journal に欠陥があり、 攻略ジャーナル ファイルを開くと任意のコードが実行ざれる。 CVE-2016-0182。悪用可能性評価: 3

MS16-057 - 緊急: Windows Shell 用のセキュリティ更新プログラム (3156987)

 Windows 8.1 / RT 8.1 / Server 2012 R2、 10 に欠陥。攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2016-0179。 悪用可能性評価: 2

MS16-058 - 重要: Windows IIS 用のセキュリティ更新プログラム (3141083)

 Windows Vista / Server 2008 に欠陥。Windows DLL 読み込みの欠陥 CVE-2016-0152。悪用可能性評価: 2

MS16-059 - 重要: Windows Media Center 用のセキュリティ更新プログラム (3150220)

 Windows Vista、7、8.1 に欠陥。Windows Media Center に欠陥があり、 攻略 mcl ファイルを開くと任意のコードが実行される。CVE-2016-0185。悪用可能性評価: 2

MS16-060 - 重要: Windows カーネル用のセキュリティ更新プログラム (3154846)

 Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。 Windows カーネルにおけるシンボリックリンクの処理に欠陥があり、local user が攻略アプリによって権限上昇が可能。CVE-2016-0180。悪用可能性評価: 2

MS16-061 – 重要: Microsoft RPC 用のセキュリティ更新プログラム (3155520)

 Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。 RPC Network Data Representation Engine に欠陥があり、攻略 RPC リクエストによって任意のコードを実行できる。 CVE-2016-0178。悪用可能性評価: 2

MS16-062 – 重要: Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3158222)

 Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 のカーネルモード ドライバーに複数の欠陥。

CVE 概要 悪用可能性評価 特記事項
CVE-2016-0171
CVE-2016-0173
CVE-2016-0174
CVE-2016-0196
Win32k の特権の昇格の脆弱性 1 local user による攻撃
CVE-2016-0175 Win32k の情報漏えいの脆弱性 2
CVE-2016-0176 DirectX グラフィック カーネル サブシステムの特権の昇格の脆弱性 1
CVE-2016-0197 3

MS16-064 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3157993)

MS16-065 – 重要: .NET Framework 用のセキュリティ更新プログラム (3156757)

 .NET Framework 2.0 SP2、3.5 / 3.5.1、4.5.2、4.6 / 4.6.1 に欠陥。TLS/SSL プロトコルに情報漏えいの脆弱性 CVE-2016-0149。悪用可能性評価: 3

MS16-066 – 重要: 仮想保護モード用のセキュリティ更新プログラム (3155451)

 Windows 10 に欠陥。セキュリティ機能「ハイパーバイザーによるコードの整合性 (HVCI)」を回避できる。 CVE-2016-0181。悪用可能性評価: 3

MS16-067 – 重要: ボリューム マネージャー ドライバー用のセキュリティ更新プログラム (3155784)

 Windows 8.1 / Server 2012 / Server 2012 R2 / RT 8.1 に欠陥。 RemoteFX を使っていて、RDP 経由でマウントしている USB ディスクが、 マウントしているユーザーのセッションに正しく結びつけられてない場合に欠陥があり、攻撃者が USB ディスクのファイル・ディレクトリ情報を取得できる。 CVE-2016-0190。悪用可能性評価: 3

 関連:

APSA16-02 - Security Advisory for Adobe Flash Player
(Adobe, 2016.05.10)

 Windows、Macintosh、Linux、Chrome OS 版の Flash Player 21.0.0.226 以前に 0-day 欠陥 CVE-2016-4117。修正版は 2016.05.12 (US 時間、日本では 2016.05.13) に公開される予定。

 Windows 8.1 / 10 内蔵用は先行して公開されてます: MS16-064 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3157993) (Microsoft, 2016.05.11)。21.0.0.241。

2016.05.12 追記:

 Chrome 50.0.2661.102 が公開された。 内蔵 Flash Player も 21.0.0.242 に更新されており、本件が修正されていると考えられる。

2016.05.13 追記:

  APSB16-15 - Security updates available for Adobe Flash Player (Adobe, 2016.05.12) 公開。基本 21.0.0.242。

2016.05.23 追記:

 関連:

APSB16-14 - Security Updates Available for Adobe Acrobat and Reader
(Adobe, 2016.05.10)

 Acrobat / Acrobat Reader 更新出ました。92 件 (!) のセキュリティ欠陥が修正されています。0-day は無いようです。 CVE-2016-1037 CVE-2016-1038 CVE-2016-1039 CVE-2016-1040 CVE-2016-1041 CVE-2016-1042 CVE-2016-1043 CVE-2016-1044 CVE-2016-1045 CVE-2016-1046 CVE-2016-1047 CVE-2016-1048 CVE-2016-1049 CVE-2016-1050 CVE-2016-1051 CVE-2016-1052 CVE-2016-1053 CVE-2016-1054 CVE-2016-1055 CVE-2016-1056 CVE-2016-1057 CVE-2016-1058 CVE-2016-1059 CVE-2016-1060 CVE-2016-1061 CVE-2016-1062 CVE-2016-1063 CVE-2016-1064 CVE-2016-1065 CVE-2016-1066 CVE-2016-1067 CVE-2016-1068 CVE-2016-1069 CVE-2016-1070 CVE-2016-1071 CVE-2016-1072 CVE-2016-1073 CVE-2016-1074 CVE-2016-1075 CVE-2016-1076 CVE-2016-1077 CVE-2016-1078 CVE-2016-1079 CVE-2016-1080 CVE-2016-1081 CVE-2016-1082 CVE-2016-1083 CVE-2016-1084 CVE-2016-1085 CVE-2016-1086 CVE-2016-1087 CVE-2016-1088 CVE-2016-1090 CVE-2016-1092 CVE-2016-1093 CVE-2016-1094 CVE-2016-1095 CVE-2016-1112 CVE-2016-1116 CVE-2016-1117 CVE-2016-1118 CVE-2016-1119 CVE-2016-1120 CVE-2016-1121 CVE-2016-1122 CVE-2016-1123 CVE-2016-1124 CVE-2016-1125 CVE-2016-1126 CVE-2016-1127 CVE-2016-1128 CVE-2016-1129 CVE-2016-1130 CVE-2016-4088 CVE-2016-4089 CVE-2016-4090 CVE-2016-4091 CVE-2016-4092 CVE-2016-4093 CVE-2016-4094 CVE-2016-4096 CVE-2016-4097 CVE-2016-4098 CVE-2016-4099 CVE-2016-4100 CVE-2016-4101 CVE-2016-4102 CVE-2016-4103 CVE-2016-4104 CVE-2016-4105 CVE-2016-4106 CVE-2016-4107

 以下が最新:

名称 トラック バージョン
Acrobat DC / Acrobat Reader DC Continuous 15.016.20039
Classic 15.006.30172
Acrobat XI / Adobe Reader XI Desktop 11.0.16

 Priority Rating はいずれも 2。

いろいろ (2016.05.11)
(various)

Subversion

OpenSSH

libarchive

SYM16-006 - Security Advisories Relating to Symantec Products - Symantec Endpoint Encryption Unquoted Service Path Local Elevation of Privilege
(Symantec, 2016.05.06)

 Symantec Endpoint Encryption 11.x の欠陥。11.1.1 で修正されている。 CVE-2015-8156

SB10151 - Intel Security - Security Bulletin: Protected resource access bypass vulnerability resolved in multiple McAfee endpoint products for Microsoft Windows
(McAfee, 2016.02.25)

 マカフィーの複数のエンドポイント製品に欠陥、自製品を保護する機構を回避できる。

 McAfee Agent 5.x や Host Intrusion Prevention Service 8.0 などについては 2 月中に修正されたけど、4/29 にようやく VSE 8.8 patch 6/7 用の Hotfix 1123565 が出たそうで。

SECURITY BULLETIN: Trend Micro Email Encryption Gateway (TMEEG) SQL Injection Remote Code Execution Vulnerability
(Trend Micro, 2016.05.03)

 Trend Micro Email Encryption 5.5 build 1073 以前に SQL インジェクションを許す欠陥があり、認証の回避に悪用されるおそれ。5.5 build 1107 で修正されている。


2016.05.10

追記

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起 (2016.05.06)


2016.05.09

Aruba ArubaOS/Aruba Instant/AirWave Management - Multiple Vulnerabilities (CVE-2016-2031, CVE-2016-2032)
(full-disclosure ML, 2016.05.06)

 ArubaOS、Aruba Instant、AirWave Management Platform に欠陥。

WordPress 4.5.2 セキュリティリリース
(WordPress, 2015.05.07)

 WordPress 4.5.2 公開。4.5.1 以前の 2 件のセキュリティ欠陥を修正。

 関連:


2016.05.06

追記

ケータイキット for Movable Typeの脆弱性について (2016.04.25)

OpenSSL Security Advisory [3rd May 2016]
(OpenSSL, 2016.05.03)

 OpenSSL 1.0.2h、1.0.1t 公開。5 件のセキュリティ欠陥 CVE-2016-2107 CVE-2016-2105 CVE-2016-2106 CVE-2016-2109 CVE-2016-2176 を修正。 また、OpenSSL 1.0.2c、1.0.1o で修正されていた 1 件のセキュリティ欠陥 CVE-2016-2108 が公開された。

Firefox 46.0 / ESR 38.8.0 公開
(Mozilla, 2016.04.26)

 そういえば、出てました。ESR 38.8 では NSS 3.19.2.4 に移行したため、 MFSA 2016-07 MFSA 2016-15 MFSA 2016-36 の修正が含まれています。

 その後 46.0.1 が出ています。セキュリティ修正は含まれていないようです。

2016.05.18 追記:

 Firefox ESR 38 系列は 38.8 で終了なのですね。ESR 45.1.0ESR 45.1.1 も出てました。

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
(JPCERT/CC, 2016.05.06)

 ImageMagick に欠陥、攻略ファイルを処理すると任意の OS コマンドを実行できる。 CVE-2016-3714

 ImageMagick 6.9.3-10 / 7.0.1-1 で修正されている。 また、6.9.4-0 / 7.0.1-2 でさらに修正されているという。 ImageMagick Security Issue (imagemagick.org, 2016.05.03) によると:

We have secured the HTTPS coder in ImageMagick 7.0.1-2 and 6.9.4-0 by sanitizing the HTTPS parameters.

 逆に言うと、6.9.3-10 / 7.0.1-1 の HTTPS コーダーには問題があるということか。

 ImageMagick 6.9 / 7.0 系では policy.xml を設定することで、この欠陥を利用した攻撃を抑止できる。

 関連:

2016.05.09 追記:


2016.05.02

追記

Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)

 Apple、QuickTime for Windowsのサポート終了を正式に告知していたことが判明 (Internet Watch, 2016.04.28)、 QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合 (Apple)

追加情報
Apple では、QuickTime 7 for Windows のサポートを終了いたしました。2009 年以降の新しいバージョンの Windows には、H.264 および AAC など、QuickTime 7 に対応した主要メディアフォーマットのサポートが組み込まれています。現行の Windows Web ブラウザはすべて、ブラウザプラグインがなくてもビデオ再生に対応しています。Windows パソコンで QuickTime 7 が不要になった場合は、こちらの記事の手順にそって、QuickTime 7 for Windows をアンインストールしてください。

Chrome Stable Channel Update
(Google, 2016.04.28)

 Chrome 50.0.2661.94 公開。9 件のセキュリティ修正が含まれる。

PHP 7.0.6、5.6.21、5.5.35 公開
(php.net, 2016.04.28)

 PHP 7.0.65.6.215.5.35 公開。PHP 7.0.6 では少なくとも 2 件、5.6.21 / 5.5.35 では少なくとも 1 件のセキュリティ欠陥が修正されている。


過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]