特に重要なセキュリティ欠陥・ウイルス情報

Internet Explorer に関連する未修正の欠陥の報告が相次いでいます。

• マイクロソフト セキュリティ アドバイザリ (981169) VBScript の脆弱性により、リモートでコードが実行される (Microsoft)
  対象: Windows 2000 / XP / Server 2003
• マイクロソフト セキュリティ アドバイザリ (981374) Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft)
  対象: Internet Explorer 6 / 7

特にアドバイザリ 981374 が重大で、これを悪用するウイルスが広く存在しています。アドバイザリ 981169 は Internet Explorer の欠陥ではありませんが、Internet Explorer を介した攻撃を招くおそれがあります。

回避策があります。

アドバイザリ 981169:

管理者権限のあるユーザでログオンし、コマンドプロンプトから次のコマンドを実行します。winhlp32.exe へのアクセスが抑止されます。

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

アクセス抑止を解除する場合は、次のコマンドを実行します。

echo Y | cacls "%windir%\winhlp32.exe" /E /R everyone

アドバイザリ 981374:

Internet Explorer 8 にはこの欠陥はありません。したがって、Internet Explorer 8 へのアップグレードが最も確実な回避策となります。Internet Explorer 8 は、性能の高い SmartScreen Filter など、セキュリティ機能も充実しています。

互換性の問題などにより、Internet Explorer 8 へのアップグレードが困難な場合は、KB 981374 に掲載されている Microsoft Fix it の実行を推奨します。2 種類掲載されていますが、両方とも有効 (Enable) にすることを推奨します。

2010.04.05 追記

アドバイザリ 981374 の件は MS10-018 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (980182) で修正されました。Microsoft Update などを使ってインストールして下さい。

なお、MS10-018では計 10 件のセキュリティ欠陥が修正されています。Internet Explorer 5.01 / 8 に影響する欠陥の修正も含まれていますので、全ての Windows に適用して下さい。

アドバイザリ 981169 の件はまだ修正されていません。

Microsoft から 2010 年 3 月の月例セキュリティ更新プログラムが公開されています。

• 2010 年 3 月のセキュリティ情報 (Microsoft)。
• 2010年3月10日のセキュリティ情報 (月例) (日本のセキュリティチーム)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下に注意点を述べます。

• Microsoft Producer 2003 (PowerPoint 2002 / 2003 向けのアドインプログラム) の更新プログラムはまだ公開されていません。Microsoft は、Producer 2003 のアンインストールを推奨しています。Producer 2003 を使用しつづけたい場合は、KB 975561 に掲載されている Microsoft Fix it を実行し、Producer 2003 のファイルの関連付けを削除することを推奨します。
• 英語版 Windows 上の Excel 2002 / 2003 に更新プログラム 978471 / 978474 を適用すると、コントロールパネルの「ソフトウェアの追加と削除」や「プログラムと機能」が、なぜか中国語表示になってしまうことがあるそうです。このような場合には、一旦更新プログラムをアンインストールした後、改めて次の KB から更新プログラムをダウンロードし、適用して下さい。
  • MS10-017: Description of the security update for Excel 2002: March 9, 2010 (Microsoft)
  • MS10-017: Description of the security update for Excel 2003: March 9, 2010 (Microsoft)
• Microsoft Office の更新が含まれている点に注意してください。Windows 版 Office の他、Mac 版 Office にも更新プログラムが提供されています。Mac 版 Office の利用者は適用してください。
  • Microsoft Office 2004 for Mac 11.5.8 更新プログラム (Microsoft)
  • Microsoft Office 2008 for Mac 12.2.4 更新プログラム (Microsoft)
  • Open XML File Format Converter for Mac 1.1.4 (Microsoft)

RINS の複数の機械に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

関連キーワード: Windows, Office

2010.05.13 追記

Microsoft Producer 2003 の更新プログラム、Microsoft Producer が公開されました。

Web ブラウザ Opera 10.x に重大な欠陥が発見されました。攻略 Web ページを閲覧すると、ウイルスを実行される、パスワードを盗まれるなどの被害が発生します。

• Operaブラウザに深刻な脆弱性、パッチは未公開 (ITmedia)

現在 Opera は

• Windows: バージョン 10.50
• その他の OS: バージョン 10.10

が最新版ですが、どちらにも上記の欠陥があります。

この欠陥を回避するには、Opera ではない、他のブラウザ (Internet Explorer, Firefox, Safari, Google Chrome など) を使用して下さい。

関連キーワード: Opera

2010.03.30 追記

この欠陥ですが、Opera 10.51 では修正されている可能性が高いです。

• Opera 10.51 for Windows 更新履歴

Opera 10.51 は、現時点では Windows 版しか公開されていません。Windows 上で Opera を利用している場合は、Opera 10.51 に更新して下さい。

Flash Player 10.0.45.2 / 9.0.262.0、AIR 1.5.3.9130 が公開されています。複数の重大な欠陥が修正されています。

• APSB10-06 - Security update available for Adobe Flash Player (Adobe)

Flash Player 10.0.45.2 は Adobe のダウンロードページから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

• Windows (Internet Explorer 用)
  • EXE 形式
  • MSI 形式

• Windows (Firefox, Opera, Safari などプラグイン方式用)
  • EXE 形式
  • MSI 形式

• Mac OS X (.dmg ファイル)
  • ユニバーサルバイナリ

• Linux
  • RPM 形式
  • deb 形式
  • tar.gz 形式

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。

旧バージョンからアップグレードする場合は、既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.0.45.2 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。

• Flash Player のアンインストール手順（Windows） (Adobe)
• How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe)

Flash CS4 Professional については専用の Flash Player が存在するので注意してください。また Flash CS3 Professional と Flex 3 には Debug 版の Flash Player をインストールしてください。これらの入手先については、Advisory を参照してください。

互換性の問題などにより、どうしても Flash Player 10 系列に移行できない場合は、Flash Player 9.0.262.0 に更新してください。Flash Player 9 for Unsupported Operating Systems から入手できます。

AIR 1.5.3.9130 は http://get.adobe.com/jp/air/ から入手してください。

Flash Player はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。

関連キーワード: Flash Player, AIR

Adobe Reader / Acrobat 9.3.1 / 8.2.1 が公開されています。複数の重大な欠陥が修正されています。

• APSB10-07 - Security updates available for Adobe Reader and Acrobat (Adobe)

Adobe Reader / Acrobat は以下のリンクから入手してください。Adobe Reader / Acrobat 9.x / 8.x の利用者は、Adobe Reader / Acrobat のアップデート機能を利用しても更新できます。

• Adobe Reader for Windows
• Adobe Reader for Macintosh
• Adobe Reader for Unix
• Acrobat for Windows
• Acrobat Pro Extended for Windows
• Acrobat 3D
• Acrobat Pro for Macintosh

Adobe Reader / Acrobat はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。

なお、Adobe Reader / Acrobat 7.x 以前はもはやサポートされていません。Adobe Reader / Acrobat 7.x 以前の利用者は、速やかに Adobe Reader / Acrobat 8.x 以降 (Adobe Reader / Acrobat 9.3.1 を推奨) にアップグレードしてください。たとえば、Windows 環境において Adobe Reader 7.x から Adobe Reader 9.3.1 にアップグレードする場合は、次の手順となります。

1. まず Adobe Reader 7.x をアンインストールします。
2. 次に Adobe Reader 9.3 をインストールします。ダウンロードした zip ファイルを展開し、setup.exe を実行します。
3. 最後に、Adobe Reader 9.3.1 アップデーターをインストールします。

関連キーワード: Acrobat