特に重要なセキュリティ欠陥・ウイルス情報: 2007.05

　数あるセキュリティ欠陥情報の中でも、一般ユーザによる龍大でのコンピュータ運用に際して特に重大だと考えられるものについて、ここに記述しています。 また、ウイルス関連情報についてもここに記述しています。

1. Web ブラウザ Opera 9.21 が出ています。torrent ファイルの処理におけるセキュリティ欠陥が修正されています。

   • Advisory: Malicious torrent files can execute arbitrary code in Opera (Opera)

   Opera 利用者は 9.21 にアップデートしてください。

2. Web ブラウザ Firefox 2.0.0.4 と 1.5.0.12 が出ています。 複数のセキュリティ欠陥が修正されています。

   • Firefox 2.0.0.4 リリースノート (mozilla-japan.org)
   • Firefox 1.5.0.12 リリースノート (mozilla-japan.org)

   Firefox 利用者は更新してください (ダウンロード: 2.0.0.4、1.5.0.12)。なお、Firefox 1.5 系列は 1.5.0.12 で終了となります。1.5 系列の利用者は 2.0 系列へ移行してください。

3. 電子メールソフト Thunderbird 1.5.0.12 が出ています。 複数のセキュリティ欠陥が修正されています。

   • Mozilla Thunderbird 1.5.0.12 リリースノート (mozilla-japan.org)

   Thunderbird 1.5 系列の利用者は更新してください (ダウンロード)。なお、Thunderbird 1.5 系列は 1.5.0.12 で終了となります。1.5 系列の利用者は 2.0 系列への移行を検討してください。Thunderbird 2.0 系列の最新版 Thunderbird 2.0.0.4 もまもなく登場すると考えられます。

4. QuickTime 7.1.6 (現時点での最新版) に欠陥が発見され、セキュリティ修正プログラムが公開されています。

   • Security Update (QuickTime 7.1.6) について

   Windows 用および Mac 用の修正プログラムが公開されています。手元で試した限りでは、Windows 用の Apple Software Update ではこの修正プログラムが適用されない場合があるようです。その場合は、手動で Windows 用修正プログラムをダウンロードし、実行してください。 Mac OS X の利用者は、ソフトウェア・アップデートを利用して修正プログラムを適用できます。

5. Mac OS X 10.3.9 / 10.4.9 用のセキュリティ修正プログラムが公開されています。

   • Security Update 2007-005 について (Apple)

   Mac OS X 10.3.9 / 10.4.x の利用者は、 ソフトウェア・アップデートを利用して修正プログラムを適用してください。

1. 最近、USB メモリを経由して感染するウイルスが流行しつつあるようです。

   • 拾ったUSBメモリは不用意につながない――外部接続デバイスを狙うワームも (ITmedia)
   • FirefoxやYouTubeを狙うUSBワーム登場 (ITmedia)

   この種のウイルスの感染を防止するには、アンチウイルスプログラムをインストールし、ウイルス定義ファイルを最新のものにすることはもちろんですが、 CD-ROM や USB メモリ、USB / FireWire (IEEE1394) 接続のハードディスクにおける自動実行 (autorun) 機能を無効にするとよいです。

   無効にするには、Windows 2000 / XP Professional / Server 2003 / Vista Business ではグループポリシーを設定します。グループポリシーの、コンピュータの構成＼管理用テンプレート＼システムの 「自動再生機能をオフにする」がそれです。「すべてのドライブ」に設定するのがよいでしょう。 ドメインに参加している場合はドメインコントローラで、参加していない場合は gpedit.msc コマンドで設定します。 Windows XP Home など gpedit.msc コマンドがインストールされていない場合には、 このレジストリ設定ファイルを使って設定してください。

   グループポリシー / レジストリ設定値の詳細情報が必要な場合は、 NoDriveTypeAutoRun (Microsoft TechNet) を参照してください。

2. IBM のホームページ・ビルダー 2000 / 2001 / V6 〜 V11 に付属するサンプル CGI プログラムに欠陥が発見されました。

   • ホームページ・ビルダーのサンプルCGIの脆弱性 (IBM)

   修正方法と修正プログラムが公開されています。サンプル CGI を利用しているホームページ・ビルダーの利用者は修正してください。

3. 今年の 4 月、東京都内で東芝製ノート PC が発火する事故が発生していたそうです。

   • ソニー製電池搭載の東芝ノート、都内で発火事故 (日経 IT Pro, 5/10)
   • ノートＰＣ用ソニー株式会社製バッテリパックの事故に伴う 自主交換プログラムに関する再度のお願い (東芝)

     当社は昨年より当社製パソコンに搭載されたソニー株式会社製バッテリパックの自主交換プログラムを実施しておりますが、4月24日に交換対象のバッテリパックで発火事故が発生いたしました。

   昨年、ソニー製バッテリを塔載したノートパソコンが発火・炎上した事が話題になり、PC ベンダー各社がバッテリの無償交換を行っていますが、未交換なものがまだまだ残っているようです。未交換の交換対象バッテリを所有・利用している場合は、至急交換して下さい。 以下に、各社の案内を再掲しておきます。

   • DELL
   • Apple
   • IBM / Lenovo
   • 富士通
   • 日立
   • 東芝
   • ソニー
   • シャープ
   • エプソン

   なお、HP はソニー製バッテリを使用しているものの、回収・交換する必要はないと発表しています。

   • ソニー製リチウムイオン電池に関するHPとソニーの共同発表について（2006年10月13日） (HP)

1. Windows において Windows Update や Microsoft Update、自動更新を実行した際に、

   • エラー コード 0x8DDD0009 が表示されて失敗する
   • CPU 負荷が長時間 (数十分以上) 100% になり、処理がなかなか終了しない

   ことがあるそうです。

   • Microsoft Update または Windows Update が終了しない (Microsoft)

   特に CPU 負荷が長時間 100% になる件は、Office 2003 をインストールしてある環境で顕著に発生しているようです。多数の事例が報告されています。

   • WSUS配下でCPU使用率100% (exconn.net)
   • 自動更新などでOfficeパッチが配布されるとsvchosts.exeがおかしくなる不具合、修正プログラムあり？（KB927891） (hotfix.jp)

   解決するには、KB927891 修正モジュールと Windows Update Agent (WUA) 3.0 client の両方をインストールします。 ただし Windows 2000 では WUA 3.0 client のみとなります。 WUA 3.0 client は KB937383 から入手できます。

2. Sun の Java SDK / JRE 1.4.2 Update 13 以前、JDK / JRE 5 Update 10 以前に含まれる Java Web Start に欠陥が発見されました。 JDK / JRE 6 にはこの欠陥はありません。

   • JVN#44724673: Java Web Start において許可されていないシステムクラスが実行される脆弱性 (JVN)

   この欠陥は Java SDK / JRE 1.4.2 Update 14、JDK / JRE 5 Update 11 で修正されています。

   • JDK / JRE 5 Update 11 ダウンロード
   • SDK / JRE 1.4.2 Update 14 ダウンロード

   なお、上記の最新版をインストールしても、旧版もそのまま残るため、欠陥が消えません。欠陥をなくすには、コントロールパネルの「プログラムの追加と削除」などから旧版を明示的にアンインストールする必要があります。ご注意ください。

   

1. Microsoft から、月例の修正プログラムが公開されました。

   • 2007 年 5 月のセキュリティ情報 (Microsoft)

   新たに公開されたのは、次の 7 種類です:

   • Microsoft Excel の脆弱性により、リモートでコードが実行される (934233) (MS07-023)
     対象: Excel 2000 / 2002 (XP) / 2003 / 2007, Excel Viewer 2003, Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック, Microsoft Office 2004 for Mac
   • Microsoft Word の脆弱性により、リモートでコードが実行される (934232) (MS07-024)
     対象: Microsoft Word 2000 / 2002 (XP) / 2003, Word Viewer 2003, Works Suite 2004 / 2005 / 2006, Microsoft Office 2004 for Mac
   • Microsoft Office の脆弱性により、リモートでコードが実行される (934873) (MS07-025)
     対象: Microsoft Office 2000 / XP (2002) / 2003 / 2007, Microsoft Office 2004 for Mac
   • Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832) (MS07-026)
     対象: Exchange 2000 / 2003 / 2007
   • Internet Explorer 用の累積的なセキュリティ更新プログラム (931768) (MS07-027)
     対象: Internet Explorer 5.01 SP4 / 6.0 SP1 / 6.0 SP2 / 7
   • CAPICOM の脆弱性により、リモートでコードが実行される (931906) (MS07-028)
     対象: CAPICOM および BizTalk 2004 (CAPICOM.dll)
   • Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される (935966) (MS07-029)
     対象: Windows 2000 Server / Server 2003

   Microsoft Update や Windows Update、 Office Update、 Microsoft Windows Software Update Services などを利用して、修正プログラムをインストールしてください。 「毎月第 2 火曜日 (米国時間) は Windows Update の日」 に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。 再起動を促された場合には、再起動してください。 RINS の複数の機械にインストールしてみた限りでは、特に不具合はないようです。

   MS07-023 のうち、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの修正プログラムは Office Update でも Microsoft Update でも適用されません。 修正プログラムを個別にダウンロードして適用してください。

   Mac 用の Office ソフト、Office 2004 for Mac にも修正プログラムが公開されています。 Office 2004 for Mac の利用者は、以下の web ページから修正プログラムを個別に取得・適用する必要があるので注意してください。

   • Microsoft Office 2004 for Mac 11.3.5 更新プログラム（必須） (Microsoft)

   なお、Office v.X for Mac はサポートが終了されており、もはやセキュリティ修正プログラムは提供されません。 Office 2004 for Mac にアップグレードする、 フリーの Office ソフト OpenOffice.org を利用するなどの代替手段を検討してください。

2. 音楽再生プログラム Winamp 5.34 以前に重大な欠陥が発見されています。

   • Winamp .MP4 Code Execution (eEye Research)

   この欠陥を修正する、Winamp 5.34 用のセキュリティ patch が公開されました。

   • Winamp 5.34a Security Patch available (winamp.com)

   Winamp の利用者は、まず Winamp 5.34 にアップグレードし、続けて Winamp 5.34a Security Patch を適用してください。

1. 2007.04.26 にお伝えした QuickTime の欠陥が修正された、QuickTime 7.1.6 が公開されました。

   • About the security content of QuickTime 7.1.6 (Apple)
   • QuickTime 7.1.6 for Windows (Apple)
   • QuickTime 7.1.6 for Mac (Apple)

   QuickTime の利用者は適用して更新してください。

   しかし、QuickTime には別の重大な欠陥もあることが明らかとなっています。

   • Apple QuickTime .mov "JVTCompEncodeFrame ()" Heap Overflow (security-protocols.com)
   • Apple QuickTime .mp4 "FlipFileTypeAtom_BtoN" Integer Overflow (security-protocols.com)

   QuickTime での .mov / .mp4 ファイルの処理には十分に注意ください。

2. 2007.04.20 にお伝えした Mac OS X 10.3 / 10.4 用のセキュリティ修正プログラムですが、改訂版が出ています。

   • About Security Update 2007-004 v1.1 (Apple)

   AirPort と ftp サーバに関する欠陥が修正されています。 Mac OS X 10.3.9 (client) の利用者、および Mac OS X Server 10.4.9 の利用者は、 ソフトウェア・アップデートを利用して修正プログラムを適用してください。 Mac OS X 10.4.9 (client) の利用者は適用しなくてもよいです。

1. Apple の MacBook, MacBook Pro におけるバッテリの扱いに問題があるようで、 バッテリ制御用ソフトウェアの更新が行われています。

   • Battery Update 1.2 (Apple)

   ソフトウェア更新を適用してもなお、以下のいずれかまたは複数の症状が発生する場合は、無償でバッテリを交換してくれるそうです。

   • バッテリーが認識されず、Finder のメニューバーのバッテリーアイコンに「X」マークが表示される。
   • コンピュータを AC 電源に接続してもバッテリーが充電されない。
   • 充放電回数が 300 未満（「システムプロファイラ」上に表示）のバッテリーを完全に充電しても、表示される容量／残り時間が少ない。
   • バッテリーパックが変形している。

   該当する場合は Apple に問いあわせてみてください。なお、今回の事象は「発火」などによるものではありませんのでご安心ください。

2. Adobe の Photoshop CS2 / CS3, Photoshop Elements 5.0, Corel Paint Shop Pro 11.20 に重大な欠陥が発見されています。 .bmp / .dib / .rle / .png ファイルの処理において欠陥があり、攻略 .bmp / .dib / .rle / .png ファイルを開くとウイルスに感染するなどしてしまいます。

   • 「Adobe Photoshop」に脆弱性--エクスプロイトコードも登場 (日経 IT Pro)
   • Buffer Overflows In Adobe Products (SANS ISC)

   修正プログラムは現在開発中です。Photoshop / Paint Shop Pro で .bmp / .dib / .rle / .png ファイルを扱う場合は、十分に注意してください。一旦は他のプログラムで開いてみて、正常そうだったら Photoshop / Paint Shop Pro で再度開く、といった対応を推奨します。