ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

2014年4月の日記

一覧で表示する

2014/04/29(火) Flash Player 更新版、緊急公開(Windows 版 13.0.0.206 など)

マルチOS

Flash Player の更新版が緊急公開されました。1 件のセキュリティ欠陥が修正されています。この欠陥を悪用したマルウェア(ウイルス)が既に存在し活動しています。可能な限り速やかに更新してください。

次のバージョンが最新となります。

  • 13.0.0.206 (Windows)
  • 13.0.0.206 (Mac)
  • 11.2.202.356 (Linux)
  • 13.0.0.206 (Google Chrome)
  • 13.0.0.206 (Windows 8 / Server 2012 / RT の Internet Explorer 10)
  • 13.0.0.206 (Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11)

Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新してください。

なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。

Flash Player for Windows / Mac / Linux

Flash Player 13.0.0.206 / 11.2.202.356 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

プラットホームダウンロード
Windows (13.0.0.206)Internet Explorer 用EXE ファイルMSI ファイル
Firefox, Opera などプラグイン方式用EXE ファイルMSI ファイル
Mac OS X (13.0.0.206)DMG ファイル
Linux (11.2.202.356)RPM ファイル32bit 版64 bit 版
tar.gz ファイル32bit 版64 bit 版

原則として Flash Player 13 系列の最新版に更新してください。互換性の問題等により どうしても更新できない場合にのみ、Flash Player 11.7 系列の最新版 11.7.700.279 をご利用ください。Flash Player 11.7.700.279 は Archived Flash Player versions からダウンロードできます。また Windows / Mac 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。ただし Linux 用の 11.7.700.279 は存在しません。

プラットホームダウンロード
Windows (11.7.700.279)Internet Explorer 用EXE ファイルMSI ファイル
Firefox, Opera などプラグイン方式用EXE ファイルMSI ファイル
Mac OS X (11.7.700.279)DMG ファイル

10.3 系列の更新は 2013.07.08 で終了しました。また 11.7 系列の更新も 2014.05 に終了します。Flash Player 13 系列に移行してください。

Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。

Google Chrome に内蔵されている Flash Player は自動的に更新されます。利用者は Flash Player が上記のバージョン以降に更新されていることを chrome://plugins から確認してください。PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefox などと共用のプラグイン方式用です。Chrome 自身の更新と、Chrome 内蔵の Flash Player の更新とは、非同期的に行われるようです。Chrome の状態が「最新」でも、内蔵 Flash Player はまだ更新されていない、ということがあります。ご注意ください。

Windows 8 / Server 2012 / RT の Internet Explorer 10 専用版の Flash Player の更新、Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 専用版の Flash Player の更新は Microsoft から提供されます。Microsoft UpdateMicrosoft Windows Software Update Services などを利用して更新してください。Windows 7 のInternet Explorer 10 / 11 では、専用版ではなく Internet Explorer 汎用版を使用します。

Mac では、11.8.800.94 より前の Flash Player はブロックされると Apple から案内されています。ご注意ください。参照:APPLE-SA-2013-09-10-1 OS X: Flash Player plug-in blocked

Flash Player for Android

Android 用の Flash Player の更新は終了しました。詳細は、Archived Flash Player versions の Flash Player for Android 4.0 archives と Flash Player for Android 2.x and 3.x archives を参照してください。

Flash Player バージョン確認方法

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player

2014/04/29(火) Google Chrome 34.0.1847.131・132 公開

マルチOS

Windows / Mac 向けの Google Chrome 34.0.1847.131、Linux 向けの Google Chrome 34.0.1847.132 が公開されています。9 件のセキュリティ欠陥が修正されています。あわせて、同梱の Flash Player も 13.0.0.206 に更新されています。

Google Chrome は自動的に更新されます。Windows / Mac / Linux 向けの Chrome 利用者は上記バージョン以降に更新されていることを確認してください。

関連キーワード: Chrome

2014/04/29(火) Internet Explorer 6〜11 に未修正の欠陥、マルウェアも流通

Windows

Internet Explorer (IE) 6〜11 に未修正の欠陥があることが判明しました。攻略 Web ページを IE で閲覧すると、マルウェア(ウイルス)が自動的に実行されます。IE 9〜11 を攻撃対象とするマルウェアが実際に出回っています。

更新プログラムは現在開発中です。今回、Fix it は提供されていません。EMET 4.1 をインストールして回避してください。

EMET 4.1 のインストールには .NET Framework 4.0 が必要になります。インストールされていない場合は、あらかじめインストールしておいてください。

加えて、Firefox や Chrome といった代替 Web ブラウザを利用する事も効果があります(それだけで完全に回避できるわけではありませんが)。

関連キーワード: Internet Explorer


2014.04.30 追記

VGX.dll を無効化することでも本欠陥を回避できます。これを容易に実行できるようにしたソフトウェアが公開されました。

EMET 4.1 のインストールが困難、あるいは不具合が発生するなどの場合には、こちらをお試しください。


2014.05.02 追記

更新プログラムが公開されました。サポートが終了したはずの Windows XP 用の更新プログラムも「特例として」公開されています。Microsoft UpdateMicrosoft Windows Software Update Services などを利用してインストールしてください。

VGX.dll の無効化による回避策を実施している場合には、更新プログラムの適用後に VGX.dll の有効化を行ってください。

EMET 4.1 をインストールした方は、ひきつづきインストールしたままにされることをお勧めします。

2014/04/24(木) OpenSSL のセキュリティ欠陥(Heartbleed バグ)について

マルチOS

暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed(心臓出血)バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。

理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。

しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア(Web ブラウザや FTP ソフトなど)を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報(ユーザー名、パスワード)などが漏洩する可能性があります。

OS 標準の OpenSSL ライブラリの更新が必要なもの

Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。

OS名対象となるバージョンアドバイザリ
CentOS6.5CESA-2014:0376
Debianwheezy, jessie, sidDSA-2896-1
Fedora19, 20Status on CVE-2014-0160
FreeBSD10.0FreeBSD-SA-14:06
NetBSD6.0.x, 6.1.xNetBSD Security Advisory 2014-004
OpenBSD5.4, 5.55.4 patch, 5.5 patch
Red Hat6.5RHSA-2014:0376-1
Ubuntu12.04 LTS, 12.10, 13.10USN-2165-1

FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。

個別のアプリケーションソフトウェアの更新が必要となるもの

主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。

アプリケーション名更新済みバージョン、更新プログラムなど
FFFTP1.98g2
FileMakerFileMaker Server 13.0v1a, FileMaker Pro 13.0v3 および FileMaker Pro 13.0v3 Advanced, FileMaker Go 13.0.4
mod_spdyv0.9.4.2
VMwareResponse to OpenSSL security issue CVE-2014-0160
WinSCP5.5.3

ファームウェアの更新が必要となるもの

組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。

ハードウェア名更新済みバージョン、更新プログラムなど
各社 AndroidAndroid 4.1.1 および 4.2.2 の一部が影響を受けます。確認アプリで影響の有無を確認した上で、端末メーカーにお問い合わせください
Apple AirMac Extreme、
AirMac Time Capsule
AirPort Base Station Firmware Update 7.7.3
QNAP Turbo NASQNAP が Heartbleed OpenSSL の脆弱性を修正するためのシステムアップデートを発表
Synology NASDSM 5.0-4458 アップデート 2, DSM 4.2-3248, DSM 4.3-3827 アップデート 2, VPN Server 1.2-2414 & 1.2-2318

利用しているサービスでの対応が必要となるもの

利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。

2014/04/23(水) iOS 7.1.1、Apple TV 6.1.1 公開

iOS 7.1.1、Apple TV 6.1.1 が公開されました。19 件のセキュリティ欠陥が修正されています。

iPhone、iPad、iPod touch、Apple TV 利用者は速やかに更新してください。

関連キーワード: iOS