特に重要なセキュリティ欠陥・ウイルス情報

Word 2003、2007、2010、2013、Word Viewer、Office 互換性パック、Office for Mac 2011 等に未修正のセキュリティ欠陥が発見されました。RTF ファイルの処理に欠陥があり、攻略 RTF コンテンツを Word で開くとマルウェア（ウイルス）が実行されます。既にこの欠陥を悪用した攻撃が行われています。

• マイクロソフト セキュリティ アドバイザリ (2953095) Microsoft Word の脆弱性により、リモートでコードが実行される （マイクロソフト）
• セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開 （日本のセキュリティチーム）

更新プログラムは現在開発中です。この欠陥を悪用する攻撃を回避するための Fix it が公開されていますので、Word 2003、2007、2010、2013 の利用者は適用してください。KB 2953095 に掲載されている Fix it 51010 を実行すると、回避コードが有効になります。回避コードを無効にしたい場合は、KB 2953095 に掲載されている Fix it 51011 を適用してください。

Fix it に加えて EMET 4.1 を併用すると、より効果的です。

• EMET 4.1 を公開 〜 構成ファイルや管理機能の強化 （日本のセキュリティチーム）

ただし、Fix it、EMET 共に、Office for Mac 2011 には適用できません。

2014.04.11 追記

MS14-017 更新プログラムで修正されました。Microsoft Update などを使って適用してください。

更新プログラム適用後に、Fix it 51011 を適用して回避コードを無効にしてください。

Firefox 28.0 / ESR 24.4.0、Android 版 Firefox 28.0.1、Thunderbird 24.4.0 が公開されています。19 件のセキュリティ欠陥が修正されています。

• Firefox (Mozilla.jp)
• Android 版 Firefox (Mozilla.jp)
• Thunderbird (Mozilla.jp)
• Firefox / Thunderbird ESR (Mozilla.jp)
• Firefox セキュリティアドバイザリ (Mozilla)
• Firefox ESR セキュリティアドバイザリ (Mozilla)
• Thunderbird セキュリティアドバイザリ (Mozilla)

Firefox / Thunderbird 利用者は更新してください。

延長サポート版 (ESR) のうち、Firefox / Thunderbird ESR 10 系列および ESR 17 系列のサポートは終了しました。新しい延長サポート版である Firefox ESR 24 系列・Thunderbird 24 系列に移行してください。なお Thunderbird 24 からは、通常版と延長サポート版が統合され、区別がなくなりました。

• 最新のテクノロジーを利用したい方には通常版を推奨します。また Google Apps や Office 365 など SaaS 環境を利用する場合も、通常版をご利用ください。
• 安定志向の方には延長サポート版を推奨します。Firefox に対応した商用ソフトウェアを利用している場合も、延長サポート版の方がよいでしょう。

通常版から延長サポート版に移行したい場合は、http://mozilla.jp/business/downloads/ からダウンロードしてインストールしてください。

関連キーワード: Firefox, Thunderbird

龍大標準のアンチウイルスソフト VirusScan Enterprise (VSE) 8.8 の最新 patch である patch 4 が登場しています。Windows 8.1 および Windows Server 2012 R2 に対応しました。

• VirusScan Enterprise 8.8 Patch 4 Release Notes （マカフィー）
• マカフィー VirusScan Enterprise 8.8 （RINS; 学内からのみ閲覧可）

インストール時の注意

新規インストールの場合は VSE 8.8 patch 4 同梱版をインストールしてください。既に VSE 8.8 patch 3 以前をインストール済の PC を patch 4 に更新する場合も、原則として次の手順を踏んでください。

1. まず VSE 8.8 自身をアンインストールする
2. 次に McAfee Agent をアンインストールする
3. 再起動する
4. 最後に VSE 8.8 本体 (patch 4 同梱版) を新規インストールする

ただし、32 bit 版の VSE 8.8 patch 1、または 64 bit 版の VSE 8.8 patch 2 については、patch 4 を適用できます。

詳細については、マカフィー VirusScan Enterprise 8.8 （学内からのみ閲覧可）を参照してください。

関連キーワード: VirusScan

2014.04.07 追記

VSE 8.8 patch 4 では、バッファオーバーフロー保護機能が強化された結果、パッチが適用されていない古いアプリケーションにおいて、バッファオーバーフローを検出することがあるそうです。

• マカフィーサポート通信 - 2014/03/20 （マカフィー）
• Buffer Overflow violations after installing VirusScan Enterprise 8.8 Patch 4 (McAfee KB81308)。Microsoft 製品では、Office XP・2003・2007、Access、Internet Explorer の名前が上がっています。

最新パッチの適用や、アプリケーションのアップグレードで対応できるそうです。そのような事象が発生した場合は、RINS 担当（内線 7414）にご相談ください。

Mac / Linux 向けの Google Chrome 33.0.1750.152、および Windows 向けの Google Chrome 33.0.1750.154 が公開されています。4 件のセキュリティ欠陥が修正されています。

• Stable Channel Update (Google Chrome Release blog)

Google Chrome は自動的に更新されます。Windows / Mac / Linux 向けの Chrome 利用者は上記バージョン以降に更新されていることを確認してください。

なお、Chrome Frame はもはや保守されていません。速やかに削除してください。

関連キーワード: Chrome

Shockwave Player 12.1.0.150 が公開されています。1 件のセキュリティ欠陥が修正されています。

• APSB14-10 - Adobe Shockwave Player用セキュリティアップデート公開 (Adobe)
• Shockwave Player ダウンロード (Adobe)
• RINS ホームページからダウンロード (学内からのみ入手可)
  • Windows 用: exe 形式スリムインストーラ
  • Mac OS X 用: dmg 形式

Shockwave Player 利用者は更新してください。

Shockwave Player をインストールしているか否かは、たとえば http://www.adobe.com/jp/shockwave/welcome/ にアクセスした場合に Shockwave が表示されるか否かで確認できます。(Flash Player と間違えないようにしてください)

関連キーワード: Shockwave