特に重要なセキュリティ欠陥・ウイルス情報

Adobe Reader / Acrobat 9.4.1 が公開されています。2 件の欠陥が修正されています。

• APSB10-28: Security updates available for Adobe Reader and Acrobat (Adobe)

Adobe Reader / Acrobat は以下のリンクから入手してください。Adobe Reader / Acrobat 9.x の利用者は、Adobe Reader / Acrobat のアップデート機能を利用しても更新できます。

• Adobe Reader for Windows
• Adobe Reader for Macintosh
• Adobe Reader for Unix
• Acrobat for Windows
• Acrobat Pro Extended for Windows
• Acrobat 3D
• Acrobat Pro for Macintosh

注意: 現時点では Windows / Mac 版のみが公開されています。Unix 版は 2010.11.30 (米国時間) に公開される予定です。

Adobe Reader 9.4.1 へのアップデータは、次のリンクからも入手できます (龍大内部からのみアクセス可)。

• Windows: MSP 形式
• Mac OS X: Intel Mac 用, PowerPC Mac 用

こちらから入手できる Adobe Reader 9.4 に適用できます。

Adobe Reader / Acrobat はウイルスに狙われやすいプログラムの 1 つです。また、今回修正された欠陥を攻略するウイルスが既に存在します。早急に更新してください。

なお、Adobe Reader / Acrobat 7.x 以前はもはやサポートされていません。Adobe Reader / Acrobat 7.x 以前の利用者は、速やかに Adobe Reader / Acrobat 9.4.1 にアップグレードしてください。

注意: 今回修正された欠陥 2 件のうち 1 件は Adobe Reader 8.x にも影響しますが、Adobe Reader 8.x の次回の更新は 2011.02.08 (米国時間) に予定されています。RINS では、Adobe Reader 8.x の利用者も Adobe Reader 9.4.1 へアップグレードすることを推奨します。

古いバージョンの Adobe Acrobat をアップグレードする費用を工面できないという場合は、Adobe Acrobat をアンインストールした上で、PrimoPDF などの無償ソフトウェアの利用を推奨します。

関連キーワード: Acrobat, Adobe Reader

Shockwave Player 11.5.9.615 が公開されています。11 種類のセキュリティ欠陥が修正されています。

• APSB10-25: Security update available for Shockwave Player
• Shockwave Player ダウンロード

Shockwave Player をインストールしている場合は更新してください。なお、更新する際は、次の手順が推奨されています。

• まず Shockwave Player をアンインストールする
• 再起動する
• 最新の Shockwave Player をインストールする

Shockwave Player をインストールしているか否かは、たとえば http://www.adobe.com/jp/shockwave/welcome/ にアクセスした場合に Shockwave が表示されるか否かで確認できます。(Flash Player と間違えないようにしてください)

関連キーワード: Shockwave

Apple から、Mac OS X v10.6.5、および Mac OS X 10.5.8 用のセキュリティアップデート 2010-007 が公開されています。100 件を越えるセキュリティ欠陥が修正されています。

• About the security content of Mac OS X v10.6.5 and Security Update 2010-007 (Apple)

Mac OS X 利用者はソフトウェアアップデートなどを利用して適用してください。

なお、Mac OS X 10.4.x 以前はもはやサポートされていません。速やかに Mac OS X 10.5.x 以降に更新してください。

関連キーワード: Mac OS X

Microsoft から 2010 年 11 月の月例セキュリティ更新プログラムが公開されています。

• 2010 年 11 月のセキュリティ情報 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• Mac 版 Office の修正が含まれています。Mac 版 Office の更新機能を使うか、あるいは MS10-087 MS10-088 から修正プログラムをダウンロードして適用してください。
• ……が、現時点で存在するのは Office for Mac 2011 用の修正プログラムだけで、Office 2004 / 2008 for Mac、Open XML File Format Converter for Mac 用の修正プログラムはまだ開発中です。これらを利用している方は、続報にご注意下さい。

RINS の複数の機械に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

関連キーワード: Windows, Office

Internet Explorer (IE) において、未修正の欠陥の存在が確認されました。既にこの欠陥を攻略するマルウェア（ウイルス）が存在します。

• マイクロソフト セキュリティ アドバイザリ (2458511) Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft)
• IE の新しいゼロデイ脆弱性を利用した標的型攻撃 (シマンテック)

複数の回避方法が存在します。

• 現在知られているマルウェアは、Windows のデータ実行防止 (DEP) 機能を突破できません。このため、DEP を有効にする事で既知のマルウェアを回避できます。
  • IE 8 は標準で DEP が有効になっています。
  • IE 7 は標準では DEP は有効になっていません。KB 2458511 に掲載されている Microsoft Fixit を使用すると、DEP を有効にできます。
  • IE 6 は DEP を使えません。IE 8 に更新してください。
• Enhanced Mitigation Experience Toolkit (EMET) を使うと、DEP を含む、複数のセキュリティ機構を有効にすることができます。インストール後、アドバイザリの「推奨するアクション」＞「回避策」＞「Enhanced Mitigation Experience Toolkit を使用する」を参照して設定してください。
• 欠陥が修正されるまで、Firefox や Opera など、IE ではない Web ブラウザを使用することでも回避できます。その場合は「規定のプログラム」も IE ではないものに設定してください。IE のソフトウェアコンポーネントを使用するソフトウェアが存在するため、これだけで完全に回避できるわけではありませんが、高い効果があります。

アドバイザリにはこの他にも「ユーザー定義 CSS を使用する」「インターネットゾーンやローカルイントラネットゾーンのセキュリティ設定を [高] にする」といった回避策が解説されていますが、Web ページの見栄えが大きく変化したり、一般的な Web サイトを正常に操作できなくなったりする副作用があるため、強くは推奨しません。

上記とあわせて、アンチウイルスソフトの更新、ウイルス定義ファイルの更新を行ってください。龍大標準のアンチウイルスソフト、マカフィー VirusScan の最新版は以下のとおりです。

• Windows 用: VirusScan Enterprise 8.7i patch 4
• Mac 用: McAfee Security for Mac 1.0 (VirusScan for Mac 9.0) ビルド 676

関連キーワード: Internet Explorer