特に重要なセキュリティ欠陥・ウイルス情報: 2006.02

　数あるセキュリティ欠陥情報の中でも、一般ユーザによる龍大でのコンピュータ運用に際して特に重大だと考えられるものについて、ここに記述しています。 また、ウイルス関連情報についてもここに記述しています。

1. 2006.02.21 におしらせした「Safari の欠陥」は、実は Safari ではなく Mac OS X 自身に存在する欠陥であることが明らかになりました。 また、Safari だけでなく、Mac OS X の標準メールソフト Mail においても顕著な影響が発生することが確認されています。

   • Mac OS Xに深刻な脆弱性が発見される - 出所不明のZIPアーカイブに注意 (MYCOM PC WEB)
   • Mac OS Xの脆弱性でファイルタイプを偽装される恐れ、「Mail」にも影響 (Internet Watch)

   Safari においては、「ダウンロード後、"安全なファイル" を開く」のチェックを外せば欠陥を回避できます。

   Mail においては、添付ファイルはそのまま開かずに一旦保存し、Finder から展開した上で、展開したファイルの「種類」を確認します。種類が「ターミナル書類」の場合は攻略ファイルである可能性が高いので、開かずに削除してください。

   

1. Mac OS X の標準 web ブラウザ Safari に欠陥が発見されました。

   • Safariに深刻な脆弱性 (ITmedia)

   特殊な zip ファイルをダウンロードすると、zip ファイルに含まれているシェルスクリプトが自動的に実行されてしまいます。昨今 Mac OS X で動作するウイルスの登場が話題になっていますが、今回報告された欠陥を使ったウイルスの発生も容易に考えられます。

   この欠陥を回避するには、Safari の環境設定の「一般」において、「ダウンロード後、"安全なファイル" を開く」のチェックを外します。また、Firefox や Camino といった他の web ブラウザにはこの欠陥はありません。

   

   なお、龍谷大学では Mac OS X に対応したアンチウイルスソフトを導入しています。詳細については Macintosh 用アンチウイルスソフトについて (学内のみ) を参照してください。

   2006.03.02 追記:

   Security Update 2006-001 で修正されています。

1. Opera 8.52 が登場しています。 セキュリティ修正も含まれています。

   • 脆弱性を修正した「Opera 8.52」、GmailやBloglinesの表示不具合も解消 (Internet Watch)

   Opera 利用者はアップグレードしてください。 メニュー等が日本語化された「日本語版」の Opera 8.52 はまだ登場していませんが、英語版 Opera でも問題なく日本語の web ページを閲覧できます。

1. Mac OS X 10.4.5 が公開されています。

   • “Tiger”の最新版「Mac OS X 10.4.5」公開、Intelプロセッサ版も用意 (Internet Watch, 2/15)

   セキュリティ修正も含まれていますので、Mac OS X 10.4.x 利用者は 10.4.5 へアップグレードしてください。

1. Microsoft から、2006 年 2 月のセキュリティ修正プログラムが公開されています。2006.02.08 にお伝えした、IE 5.01 SP4 / 5.5 SP2 の未修正の重大な欠陥についても修正されています (ただし IE 5.5 SP2 は 2005.12.31 でサポート期限が切れたため、IE 5.01 SP4 だけが修正されています)

   • 2006 年 2 月のセキュリティ情報 (Microsoft)

   次のようにしてください。

   1. Windows 98 / 98 SE / Me 上で Internet Explorer (IE) 5.01 あるいは 5.5 を利用している場合は、 IE 6.0 SP1 をインストールします。 インストール後、再起動します。

   2. Windows Update や Microsoft Update、 Microsoft Software Update Services を利用して、修正プログラムをインストールします。 再起動を促された場合には、再起動します。

   3. PowerPoint 2000 / Office 2000 を利用している場合は、 Office アップデートを実行してください。

1. マカフィー VirusScan のエンジン 4400 と DAT4689 の組みあわせにおいて、誤認識が発生していたそうです。

   • ウイルス定義（DAT）ファイル4689でのExploit-QtPICTウイルス誤認について (マカフィー)

   この問題は DAT4690 以降で解消されています。 (最新は DAT4693)

1. Internet Explorer (IE) 5.01 SP4 / 5.5 SP2 に、未修正の重大な欠陥が発見されました。 攻略 WMF 画像ファイルによって、ウイルスの実行などが可能となります。

   • マイクロソフト セキュリティ アドバイザリ (913333): Internet Explorer の脆弱性によりリモートでコードが実行される可能性がある (Microsoft)

   この欠陥は、Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001) (Microsoft) 欠陥とは別の問題ですので注意してください。

   この欠陥は IE 6.0 SP1 にはありません。 Windows 2000 や Windows Me で IE 5.01 / 5.5 を利用している場合は、 IE 6.0 SP1 をインストールすることで、この欠陥を回避できます。 IE 6.0 SP1 をインストールし、さらに、Windows Update 等を通じて IE 6.0 SP1 用の MS06-001 修正プログラムを適用することを推奨します。

2. Sun の Java 2 Platform Standard Edition (J2SE) JDK / SDK / JRE に複数の重大な欠陥が発見されました。

   • 102171: Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Elevate its Privileges (Sun)
   • 102170: Security Vulnerability With Java Web Start (Sun)

   JDK / JRE 5.0, SDK / JRE 1.4.2, SDK / JRE 1.3.1 を利用している場合は、次のバージョンに移行してください。

   • JDK / JRE 5.0 Update 6 以降
   • SDK / JRE 1.4.2_10 以降
   • SDK / JRE 1.3.1_17 以降

   なお、JDK / SDK / JRE は、新しいバージョンをインストールしても、古いバージョンはそのまま残ります。新しいバージョンをインストールした後、古いバージョンをアンインストールしてください。

1. Firefox 1.5.0.1、および SeaMonkey 1.0 が登場しています。SeaMonkey 1.0 は Mozilla 1.7 の後継バージョンです。

   • Firefox 1.5.0.1 リリースノート (mozilla-japan.org)
   • Firefox の脆弱性 (mozilla-japan.org)

   Firefox および Mozilla の利用者は、Firefox 1.5.0.1 および SeaMonkey 1.0 へアップグレードしてください。