米Adobe Systemsは15日、「Flash Player」の脆弱性を修正するセキュリティアップデートを公開した。すでに標的型攻撃に悪用されているとの報告があるとしており、ユーザーに対して最新バージョンへのアップデートを推奨している。
脆弱性を修正した最新バージョンの番号は、Windows/Mac/Linux/Solaris版が「11.1.102.62」、Android 3.x/2.x版が「11.1.111.6」、Android 4.x版が「11.1.115.6」となる。
また、PC環境などの都合で前バージョンのFlash Player 10.x系列を使い続けているユーザー向けにも、セキュリティ修正を適用したバージョン「10.3.83.14」を用意した。
このほか、Googleが開発しているウェブブラウザー「Google Chrome」にはFlashが統合されいているが、同ブラウザーの最新バージョン「17.0.963.56」において、Flashも最新バージョンになっている。
Adobe Systemsでは、今回のアップデートで修正する脆弱性の深刻度を、4段階中で最も高い"Critical"とレーティング。クラッシュを引き起こされ、攻撃者にシステムを乗っ取られる恐れがあるという。
具体的には、CVE番号ベースで7件の脆弱性が含まれており、メモリ破壊やセキュリティ機能の回避によりコード実行につながる脆弱性と、クロスサイトスクリプティング(XSS)の脆弱性がある。
標的型攻撃での悪用が確認されているのは、このうちのXSSの脆弱性(CVE-2012-0767)だ。攻撃用サイトへのリンクを記載したメールが送り付けられているという(Windows上のInternet Explorerのみ)。ユーザーがこれをクリックすると、攻撃者がそのユーザーになりすましてサイト上でユーザー設定を変更をしたり、ウェブメールにアクセするなどの恐れがある。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120216_512509.html
米Oracleは米国時間14日、Java関連製品の定例アップデートを公開した。
公開されたJavaのバージョンは、「Java SE 7 Update 3」「Java SE 6 Update 31」など。アップデートにより、合計14件の脆弱性を修正する。14件のうち5件の脆弱性は、CVSSによる脆弱性の深刻度評価が最高の「10.0」となっている。
Oracleでは、Javaの定例アップデートを四半期ごとに提供しており、次回の定例アップデートは米国時間6月12日に予定している。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120215_512165.html
米Adobe Systemsは米国時間14日、ウェブブラウザー用プラグイン「Shockwave Player」のセキュリティアップデートを公開した。Windows版およびMac版の最新版となるバージョン11.6.4.634がAdobeのサイトからダウンロードできる。
最新バージョンでは、合計9件の脆弱性を修正。いずれも、メモリ破壊やヒープオーバーフローを引き起こすことでコード実行につながる可能性がある脆弱性で、脆弱性の危険度は4段階で最も高い"Critical"とされている。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120215_512207.html
日本マイクロソフト株式会社は15日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報9件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が4件、2番目に高い"重要"が5件。
最大深刻度が"緊急"の修正パッチは、Windowsカーネルモードドライバー関連の「MS12-008」、Internet Explorer(IE)関連の「MS12-010」、Cランタイムライブラリ関連の「MS12-013」、.NET FrameworkおよびSilverlight関連の「MS12-016」の4件。
「MS12-008」は、Windowsカーネルモードドライバーに関する2件の脆弱性を修正する。2件のうち1件は、64bit版のWindows 7にクラッシュを引き起こす脆弱性が発見されたとして、2011年12月にコンセプトコードが公開されていたもの。対象となるOSは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。
「MS12-010」は、IE関連の4件の脆弱性を修正する。4件のうち2件の脆弱性は、リモートでコードが実行される可能性があり、他の2件には情報漏えいの可能性がある。対象となるソフトウェアはIE 9/8/7/6。
「MS12-013」は、Cランタイムライブラリの「MSVCRT.DLL」に存在する1件の脆弱性を修正する。脆弱性が悪用された場合、リモートでコードを実行される可能性がある。対象となるOSは、Windows 7/VistaおよびWindows Server 2008 R2/2008。
「MS12-016」は、.NET FrameworkおよびSilverlightに関する2件の脆弱性を修正する。2件のうち1件の脆弱性については、今回の修正パッチ公開以前に脆弱性情報が一般に公開されていた。対象となるソフトウェアは、.NET Framework 4/3.5.1/2.0およびSilverlight 4。Silverlight 4についてはMac版にも同じ脆弱性が存在するため、アップデートファイルが公開されている。
最大深刻度が"重要"の修正パッチは、Ancillary Functionドライバー関連の「MS12-009」、SharePoint関連の「MS12-011」、カラーコントロールパネル関連の「MS12-012」、Indeoコーデック関連の「MS12-014」、Visio Viewer 2010関連の「MS12-015」の5件。このうち、MS12-012とMS12-014の2件は、今回の修正パッチ公開以前に脆弱性情報が一般に公開されていた。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120215_512094.html
Mozillaは10日、ウェブブラウザー「Firefox」のセキュリティアップデートとなるバージョン10.0.1を公開した。Windows版、Mac版、Linux版が公開されており、現行ユーザーに対しては自動アップデートが提供される。
Firefox 10.0.1では、1件の脆弱性を修正。脆弱性の重要度は4段階で最も高い"最高"とされている。このほか、Javaアプレット上で文字入力が無反応になる場合がある問題を修正している。
Firefoxの延長サポート版(ESR版)についても同様に、バージョン10.0.1を公開。また、メールソフトの「Thunderbird」についても、同じ脆弱性を修正したバージョン10.0.1を公開した。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120213_511709.html
トレンドマイクロ株式会社は10日、Javaの脆弱性を悪用する攻撃の被害が急増しているとして、注意を喚起した。
トレンドマイクロによると、Javaの脆弱性を悪用した攻撃による被害報告が、2012年1月後半から急増。この攻撃は、ユーザーが改ざんされたウェブページを閲覧することで、埋めこまれた不正プログラムによる別のURLに転送され、転送先でJavaの脆弱性を利用した不正プログラムが実行されるもの。最終的には、偽セキュリティプログラムや、情報収集型の不正プログラムをダウンロードさせられる。
ダウンロードさせられる偽セキュリティソフトは、「Internet Security」という名称のソフトなど複数が確認されており、1月度は個人ユーザーでは前月比2倍となる201件の被害報告があったという。
また、この攻撃に関連する情報収集型の不正プログラム「TSPY_FAREIT」も、1月度の調査では日本国内の被害報告数が25件、検出数が4869件といずれも件数ベースで1位となっており、被害が広範囲にわたっていることが推測されるとしている。
トレンドマイクロでは被害の予防策として、Javaを含むソフトウェアが最新の状態であるかを確認し、最新版にアップデートすることを呼びかけている。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120213_511785.html
日本マイクロソフト株式会社は10日、2月15日に公開を予定しているセキュリティ更新プログラム(修正パッチ)の事前情報9件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が4件、2番目に高い"重要"が5件。
最大深刻度が"緊急"の4件は、Windowsに関するものが2件、Internet Explorer(IE)に関するものが1件、.NET FrameworkおよびSilverlightに関するものが1件。Windowsに関するもののうち1件は、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003とすべての環境で最大深刻度が"緊急"とされている。また、IEに関する脆弱性は、Windows 7/Vista/XP環境で使用するIE 9/8/7のみが"緊急"となっている。
最大深刻度が"重要"の5件は、Windowsに関するものが3件、SharePoint Serverに関するものが1件、Visio Viewer 2010に関するものが1件。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120210_511194.html
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、PHPのバージョン5.3.9に危険度の高い脆弱性が存在するとして、注意喚起を行った。
この脆弱性は、PHP 5.3.9のみに存在するもので、脆弱性を悪用された場合、遠隔の第三者によって任意のコードを実行される危険がある。JPCERT/CCでは、すでにこの脆弱性の検証コードが公開されていることを確認しているとして、PHPを利用しているサーバー管理者に対しては、修正済みのPHP 5.3.10にアップデートするよう推奨している。
また、今回の脆弱性はPHP 5.3.8以前のバージョンには影響はないが、他の脆弱性によって任意のコードが実行されたり、サービス運用妨害(DoS)攻撃の影響を受ける可能性があるため、最新バージョンへのアップデートを勧めている。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120206_510114.html
独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1日、イー・アクセス株式会社が提供するモバイル無線LANルーター「Pocket WiFi(GP02)」(Huawei社製)に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があることを公表した。イー・アクセスが用意した最新ファームウェアにアップデートするよう呼び掛けている。
IPA/ISECとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」によると、この脆弱性は、ユーザーがGP02にログインした状態で悪意あるページを読み込んだ場合、設定の初期化や再起動をさせられる可能性があるというもの。ファームウェアのバージョン「11.203.11.05.168」以前が影響を受ける。
イー・アクセスが1日に公開したファームウェアは、バージョン「11.203.24.03.168」。脆弱性修正のほか、マルチSSIDへの対応も行われた。WiFi接続に2つのSSIDを使用できる機能で、SSIDごとに暗号化方式などを別々に設定できる。例えばニンテンドーDSはWEP方式で接続し、PCはWPA方式で接続するといった使い分けが可能になる。
この脆弱性は、2011年10月31日にIPAが届け出を受け、JPCERT/CCが製品開発者と調整を行なった後、今回公表された。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120201_509001.html
