最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ、6件の脆弱性を修正した「Shockwave Player 11.6.8.638」公開(2012/10/24) | メイン | ◆9月の国内フィッシング事情:ネットバンキングのフィッシング続く(2012/10/26) »

2012/10/25

◆脆弱性が修正されないWindows版「Safari」の使用停止を勧告(JVN)(2012/10/25)

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同運営している脆弱性情報公開サイトJVN(Japan Vulnerability Notes)は23日、同日掲載した脆弱性情報の中で、Windows版Safariの使用停止を呼びかけた。

 アップルのWebブラウザ「Safari」は、7月に最新バージョンの「Safari 6」をリリースした。先月19日には、61件の脆弱性を修正した「6.0.1」を公開した。今回、JVNに掲載された脆弱性情報は、6.0.1で修正された問題のひとつ、リモートからローカルファイルを読み取り可能な脆弱性だ。対策として、最新版へのアップデートを促す一方、影響を受けるWindows版Safari 6.0.1は公開されていないとして、使用を停止するよう呼びかけた。

 Safari 6は、現在、OS X Mountain Lion(v10.8)とOS X Lion(v10.7)のみに提供されており、これまでに計181件の脆弱性が修正されている。修正された脆弱性の大半は、Safari 5にも影響するものだが、WindowsやMac OS X 10.6(Snow Leopard)用のSafariは、5月にリリースした5.1.7を最後に、セキュリティアップデートは行われていない。

 JVNが今回公表した脆弱性は、コード実行につながる深刻なものではないが、6以降で修正された脆弱性には、レンダリングエンジン「WebKit」に起因する、この種の危険な脆弱性が大量に含まれている。同じWebKitを使用するiTunesは、最新版の10.7が先月公開されており、Safari 6/6.0.1で修正したWebKitの脆弱性、計175件のうち163件が修正されている。

■サポートの終了した古い製品に注意

 脆弱性を修正しないまま製品を使用していると、知らない間にパソコンを乗っ取られるなどの危険がある。セキュリティアップデートが提供されたら、できるだけ早く適用し、システムを常に最新の状態で使用していただきたい。

 サポートが終了した製品は、以後、セキュリティアップデートは提供されない。問題があっても修正されることはないので、使用を続けるならば後継バージョンにアップグレードし、最新状態を維持し続けていただきたい。アップグレードできない場合には、ただちに使用を中止するか、インターネットから切り離した状態での使用にとどめる必要がある。

 以下は、脆弱性攻撃の対象にされることの多いプラグインなどの中で、すでにサポートが終了しているバージョンだ。これらがインストールされている場合には、それぞれの環境に応じて、上記のような適切な措置をとっていただきたい。

・JRE 6(Java SE )より前のバージョン
 プログラミング言語Java(ジャバ)で書かれたプログラムを実行するために必要なソフトで、多くのパソコンに実行環境のJRE(Java Runtime Environment)がインストールされている。JRE 6は、来年2月にサポートを終了するので、無料配布のJRE 7への移行を検討したい。最新版は、JRE 7 Update 9。

・Adobe Flash Player 10より前のバージョン
 Webサイトで広く使われているFlashコンテンツを再生するために必要なソフトウェアで、家庭向けのパソコンには最初からインストールされていることも多い。最新版は、Windows版とMac版が「11.4.402.287」、Android 4.x版が「11.1.115.20」、Android 3.x版が「11.1.111.19」。

・Adobe Reader 9より前のバージョン
 PDFファイルを閲覧するためのソフトウェアで、ネット上で公開されているドキュメントに広く使われている。パソコンやアプリケーションの取り扱い説明書の閲覧用として同梱されていることも多い。Adobe Reader 9は、来年6月にサポートを終了するので、無料配布のAdobe Reader X/XIへの移行を検討したい。最新版は、Adobe Reader XI(11.0)

・Microsoft Office 2003 SP3より前のバージョン
 マイクロソフト社のオフィス製品は、購入したパソコンに同梱されていることも多い。ドキュメントの配布には、Word形式の文書ファイル、Excel形式の集計表ファイル、PowerPoint形式のプレゼンテーションファイルがよく用いられており、脆弱性攻撃にもよく使われる。Microsoft Offie 97以降のドキュメントの閲覧については、同社から無料の閲覧ソフト(Word Viewer/Excel Viewer/PowerPoint Viewer)が提供されているので、アップグレードできない方は、これらを利用するとよい。同社Webサイトの「Download Center」からダウンロード/インストール後、Windows Update/Microsoft Update経由で最新の状態に更新される。

(2012/10/25 ネットセキュリティニュース)

【関連URL】
・Safari においてリモートからローカルファイルを読み取り可能な脆弱性(JVN)
http://jvn.jp/jp/JVN42676559/
・Safari 6.0.1 のセキュリティコンテンツについて(アップル)
http://support.apple.com/kb/HT5502?viewlocale=ja_JP
・Safari 6 のセキュリティコンテンツについて(アップル)
http://support.apple.com/kb/HT5400?viewlocale=ja_JP
・セキュリティの基本「アップデート」を実行しよう~4大ソフトを最新版に(ネットセキュリティニューストピックス/2012年5月)

【最新版の入手先】
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
・Flash Playerのダウンロード(アドビシステムズ)
http://get.adobe.com/jp/flashplayer/
・Adobe Readerのダウンロード(アドビシステムズ)
http://get.adobe.com/jp/reader/
・Download Center(マイクロソフト)
http://www.microsoft.com/ja-jp/download/default.aspx

投稿情報: 08:47 |

|