QuickTime 7.7.5 公開。Windows 版において
10 件のセキュリティ欠陥が修正されている。
OS X 版については
APPLE-SA-2014-02-25-1 OS X Mavericks 10.9.2 and Security Update 2014-001
で修正されている。
Safari 6.1.2、7.0.2 登場。WebKit のセキュリティ欠陥 4 件が修正されている。Safari 7.0.2 は OS X 10.9.2 に含まれている。
OS X Mavericks 10.9.2 および OS X 10.7.5、10.8.5 用のセキュリティアップデート 2014-001 公開。計 33 件のセキュリティ欠陥が修正されている。
どうやら 10.7.5、10.8.5 についてはひきつづき保守されている様子。
Apache が 2.2.6 に、PHP が 5.4.22 (10.9.2) / 5.3.28 (10.7.5, 10.8.5) に。
Safari が 7.0.2 に (10.9.2)。
QuickTime の修正が 6 件ある。Windows 版は
APPLE-SA-2014-02-25-3 QuickTime 7.7.5 で修正されている。
10.8.5 の Secure Transport で CVE-2011-3389 (BEAST) への対応 (1 バイト フラグメント追加) が行われている。
iOS 7.0.6、6.1.6 および Apple TV 6.0.2 で修正された欠陥 CVE-2014-1266 の解説。
Apple からの案内ではまともに説明されてない。
SSLVerifySignedServerKeyExchange() に goto fail; が 1 行余分にあったため、SSLVerifySignedServerKeyExchange() が、それ以降でエラーとなるべき状況であっても正常終了してしまう。
影響を受けるかどうかは、偽物サーバーのデモ、https://www.imperialviolet.org:1266 にアクセスすることで確認できる
(https://www.imperialviolet.org が本物サーバー)。
アクセスできてしまう場合は影響を受けている。
Mac OS X 10.9、10.9.1 も影響を受けるそうで、patch は開発中の模様。
ただし、TLS 1.2 を使用する場合には影響を受けないそうだ。
あわせて、今回のコードを GCC 4.8.2 や Clang 3.3 の -Wall は警告しない事が示されている。Clang 3.3 の場合は -Wunreachable-code で警告するが、これは -Wall に含まれないのだそうだ。
2014.02.25 追記:
関連:
2014.02.26 追記:
Mac OS X Mavericks 10.9.2 が公開されました。本件が修正されています。
高木先生の一連のツイートを見て、しらべてみた。
まずこちら: 広告掲載サイト(スポンサードサーチ)
(Yahoo!プロモーション広告)。bing を含む、さまざまなサイトで利用されていると。
で、その bing でマズいことが起きていたという記事が。広告部分にアドウェアのダウンロードサイトが表示されていたというのだ。
今 bing で確認してみるとアドウェアリンクは表示されないようだが、本家 Yahoo!検索ではひきつづき表示されてしまっている。今 bing で確認してみると、「file extension unk」の検索ではアドウェアリンクが表示されるが、「chrome」の検索では表示されないようだ。
本家 Yahoo!検索では両方とも表示された。
実際にダウンロードして virustotal で調べてみた。
だめじゃん。こりゃあ、学内向けにも案内出さないと駄目だなあ……。
2014.02.23 追記:
bing の検索結果について書き直した。
Adblock を入れていたおかげで勘違いした。orz
関連: 広告でスパムが表示されると聞いたので検索エンジンで色んなワードを入れてみた
(戯れ言, 2014.02.23)。さまざまなワードをさまざまなサイトで試した結果。
悲惨です。
2014.02.26 追記:
広告掲載ガイドライン変更のお知らせ
(Yahoo! JAPAN プロモーション広告, 2014.02.26)
第5章 業種、商品、サービスごとの掲載基準があるもの
新たに「34. アプリケーションソフトウェアの提供」を追加します。
<追加>
34. アプリケーションソフトウェアの提供
(1) 広告主が、アプリケーションソフトウェアの正規制作元、正規販売元、正規配布元のいずれかであること、もしくは、正規製品を提供するソフトウェアライブラリの運営者であること
(2) 提供するアプリケーションソフトウェアがマルウェア等の不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアでないこと
Google Chrome 33.0.1750.117 公開。28 件のセキュリティ欠陥が修正されている。
GnuTLS 2.11.5 以降に欠陥。X.509 バージョン 1 中間証明書を、認証局証明書として扱ってしまう。CVE-2014-1959。iida さん情報ありがとうございます。
GnuTLS 3.2.11、3.1.21 で修正されている。また
patch
が公開されている。
Boot Camp 5 に欠陥。AppleMNT.sys における境界チェックに欠陥があり、改竄されたヘッダを持つ Portable Executable ファイルをロードするとカーネルメモリを破壊してしまう。CVE-2014-1253
Boot Camp 5.1
で修正されている。
対応一覧は Boot Camp: System requirements for Microsoft Windows operating systems
(Apple) にある。
0-day のようです。
2014.02.17 追記:
関連:
IE 9 も影響を受けるという説があるみたい (正誤不明)。IE 11 は大丈夫みたい。
2014.02.19 追記:
関連:
2014.02.20 追記:
マイクロソフトから Advisory 出ました。IE 9 も影響を受けます。
Fix it による回避策も公開されました。
2014.02.21 追記:
関連:
2014.02.24 追記:
関連:
2014.02.26 追記:
関連:
2014.02.27 追記:
関連:
2014.03.12 追記:
MS14-012 - 緊急:
Internet Explorer 用の累積的なセキュリティ更新プログラム (2925418)
(マイクロソフト, 2014.03.12) で修正された。Fix it については:
マイクロソフト セキュリティ アドバイザリ 2934088 で Microsoft Fix it ソリューション「MSHTML Shim 回避策」を実装したお客様は、この更新プログラムの適用前に Microsoft Fix it ソリューションを解除する必要はありません。
ただし、回避策は必要なくなるので、この更新プログラムをインストールした後に回避策を元に戻すことができます。この回避策を元に戻す方法については、このセキュリティ情報の脆弱性の回避策を参照してください。
回避策を実施している場合は、更新プログラムの適用後に、回避策を無効にしておこう。
また KB 2925418
によると、Windows 8.1 に更新プログラム 2925418 を適用する前に、
更新プログラム 2904440
の適用が必要になるそうだ。
Shockwave Player 12.0.9.149 公開。任意のコードを実行できる
2 件の欠陥
CVE-2014-0500
CVE-2014-0501
が修正されている。0-day ではない模様。Priority rating: 1。
関連: APSB14-06: Adobe Shockwave Player用セキュリティアップデート公開
(Adobe)
もうそんな季節ですか。緊急 x 2、重要 x 3。.NET Framework あり、IE なし、Office なし。
Microsoft セキュリティ ソフトウェアって何かと思ったら、Forefront Protection 2010 for Exchange Server (緊急)。どれくらい使われてるんだろう……。
2014.02.11 追記:
2014.02.11 付で緊急が 2 件増えました。IE あり。
出ました。13 件の欠陥が修正されています
(最高 x 4、高 x 4、中 x 4、低 x 1)。
Seamonkey 2.24 はまだβです。
2014.02.14 追記:
Firefox 27.0.1 が出ています。不具合修正のみです。
0-day だそうです。Flash Player 12.0.0.44 等が公開されたので、更新しませう。
Adobe に通報したのは Kaspersky。
CVE-2014-0497
関連:
2014.02.06 追記:
関連:
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)