特に重要なセキュリティ欠陥・ウイルス情報

Flash Player の更新版がまたしても公開されました（今月はこれで3回目です）。3 件のセキュリティ欠陥が修正されています。内 2 件については、これを悪用するマルウェア（ウイルス）が既に出回っています。更新されたのは Windows、Mac、Linux 用の Flash Player だけです。

• APSB13-08: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe)

次のバージョンが最新となります。

• 11.6.602.171 (Windows)
• 11.6.602.171 (Mac)
• 11.2.202.273 (Linux)
• 11.6.602.171 (Google Chrome)
• 11.6.602.171 (Windows 8 の Internet Explorer 10)

Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新してください。

Flash Player を必要としない場合は、アンインストールすることを推奨します。HTML5 への対応が進んでいるサイトでは、Flash Player がなくても動画を視聴できます。

なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。

Flash Player for Windows / Mac / Linux

Flash Player 11.6.602.171 / 11.2.202.273 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

原則として Flash Player 11 系列の最新版に更新してください。互換性の問題等によりどうしても更新できない場合にのみ、Flash Player 10 系列の最新版 10.3.183.67 をご利用ください。Flash Player 10.3.183.67 は Archived Flash Player versions からダウンロードできます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。

Google Chrome に内蔵されている Flash Player は自動的に更新されます。利用者は Flash Player が上記のバージョン以降に更新されていることを chrome://plugins から確認してください。PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefox などと共用のプラグイン方式用です。

Windows 8 の Internet Explorer 10 専用版の Flash Player の更新は Microsoft から提供されます。Microsoft Update や Microsoft Windows Software Update Services などを利用して更新してください。Windows 7 の Internet Explorer 10 では、専用版ではなく Internet Explorer 汎用版を使用します。

Flash Player バージョン確認方法

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player

Java 7 Update 15 および Java 6 Update 41、JavaFX 2.2.7 が公開されています。5 件のセキュリティ欠陥が修正されています。

• Java SE Download (Oracle)
• Java SE 7 Update 15 Update Release Notes (Oracle)
• Java SE 6 Update 41 Update Release Notes (Oracle)
• JavaFX ダウンロード (Oracle)
• 2013年2月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起 (JPCERT/CC)

Java は最も狙われているソフトウェアです。利用者は速やかに更新してください。Windows 上にインストール済みの Java を更新する場合は、Java コントロールパネルの [更新] タブから [今すぐ更新] を選択するのが便利です。

Java 6 の公式アップデートは 2013 年 2 月で終了します。Java 6 の利用者は、まず Java 6 Update 41 にアップデートした上で、早急に Java 7 へアップグレードしてください。

Mac OS X 用の Java も更新されています。Mac OS X の利用者はソフトウェアアップデートなどを利用して更新してください。

• Java for Mac OS X 10.6 Update 13 (Apple)
• Java for OS X 2013-001 (Apple)

Java 7 Update 10 以降では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。チェックを外すことを強く推奨します。

VirusScan Enterprise (VSE) 8.7i Patch 5 および VSE 8.8 Patch 1 にセキュリティ欠陥が発見されました。VSE 共有コンポーネントに欠陥があり、ローカルユーザーによる権限上昇を招きます。 加えて、VSE 8.7i Patch 5 または VSE 8.8 Patch 1 から VSE 8.8 Patch 2 にアップデートした場合にもこの欠陥が影響します。

• マカフィーサポート通信(緊急) - 2013/02/12 （マカフィー）
• マカフィーセキュリティ情報 - VirusScan EnterpriseおよびHost Intrusion Prevention権限昇格の脆弱性修正 （マカフィー）
• SB10034 のVirusScan Enterprise および Host Intrusion Prevention の脆弱性に関するFAQ （マカフィー）

VSE 8.7i Patch 5 および VSE 8.8 Patch 2 用の Hotfix が用意されていますので、適用してください。

• VSE 8.7i Patch 5 用: Hotfix 792686 （RINS; 学内からのみ入手可）
• VSE 8.8 Patch 2 用: Hotfix 805660 （RINS; 学内からのみ入手可）

VSE 8.8 Patch 1 については、まず Patch 2 を適用し、その後 Hotfix 805660 を適用してください。Patch の適用については、VirusScan Enterprise 8.8 patch インストール方法 （RINS; 学内からのみ閲覧可）を参照してください。

関連キーワード: VirusScan Enterprise

龍大標準のアンチウイルスソフト VirusScan Enterprise (VSE) 8.8 の最新 patch である patch 3 が登場しています。ただしこれは Windows 8 および Server 2012 専用であり、他の Windows にはインストールできません。

• VirusScan Enterprise 8.8 Patch 3 Release Notes (Repost) （マカフィー）
• VirusScan Enterprise 8.8 patch インストール方法 （RINS; 学内からのみ閲覧可）
• マカフィー VirusScan Enterprise 8.8 （RINS; 学内からのみ閲覧可）

Windows 8 および Server 2012 で VSE を利用する場合は、VSE 8.8 patch 3 をインストールしてください。

関連キーワード: VirusScan Enterprise

2013.10.23 追記

Windows 8.1 および Server 2012 R2 が公開されましたが、VSE 8.8 Patch 3 はこれらには対応していませんのでご注意ください。Windows 8.1 および Server 2012 R2 には、11 月に公開される予定の VSE 8.8 patch 4 で対応される予定です。

2014.03.19 追記

VSE 8.8 patch 4 の利用準備ができました。マカフィー VirusScan Enterprise 関連ドキュメント（学内からのみアクセス可）を参照してください。

Windows 版および Mac 版の Adobe Reader / Acrobat 11.x、10.x、9.x に未修正の欠陥が発見されました。既にマルウェア（ウイルス）に悪用されています。攻略 PDF が添付された電子メールが確認されています。

• APSA13-02: Adobe Reader および Acrobat に関するセキュリティ情報 (Adobe)

修正版はまだありません。次の回避策があります。

• Adobe Reader / Acrobat 11.x では「保護されたビュー」を有効にすることで、現在確認されているマルウェアからは防御されます。次のように設定します。
  1. 編集メニューの「環境設定」を選択します。環境設定ウィンドウが開きます。
  2. 環境設定ウィンドウ左側の「分類」で「セキュリティ（拡張）」を選択します。
  3. 環境設定ウィンドウ右側の「保護されたビュー」で「安全でない可能性のある場所からのファイル」を選択します。また「拡張セキュリティを有効にする」をチェックします。
  4. 「OK」をクリックします。
• Adobe Reader / Acrobat ではない PDF 閲覧ソフトを使用することで、この欠陥を回避できます。たとえば Foxit Reader や PDF-XChange Viewer があります。また Google Chrome は PDF 閲覧機能を内蔵しています。

Adobe Reader 10.x、.9.x については、11.x へ更新した上で、上記の設定を行う事を強く勧めます。

関連キーワード: Acrobat

2013年2月22日追記

欠陥が修正された、Adobe Reader / Acrobat 11.0.02、10.1.6、9.5.4 が公開されました。

• APSB13-07：Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe）

Adobe Reader / Acrobat 利用者は更新してください。

2013年2月24日追記

Adobe Reader 11.0.02、10.1.6、9.5.4 のインストーラ / アップデータの一部は、次のリンクからも入手できます (龍大内部からのみアクセス可)。

• Windows: 11.0.02 インストーラ、11.0.02 アップデータ、10.1.6 アップデータ、9.5.4 アップデータ
• Mac OS X: 11.0.02 アップデータ、10.1.6 アップデータ、9.5.4 アップデータ (intel)、9.5.4 アップデータ (ppc)