▼ 2017/09/20(水) Apple 関係セキュリティ更新(iOS 11、Safari 11、tvOS 11、Xcode 9、watchOS 4、iTunes 12.7)
iOS 11、Safari 11、tvOS 11、Xcode 9、watchOS 4 が公開されました。セキュリティ更新が含まれています。
- About the security content of iOS 11 (Apple)
- About the security content of Safari 11 (Apple)
- tvOS 11 (詳細未公開)
- About the security content of Xcode 9 (Apple)
- watchOS 4 (詳細未公開)
また 9月12日付で公開された iTunes 12.7 にもセキュリティ更新が含まれているそうです。詳細はまだ明らかにされていません。
ご利用の方は更新してください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0976/tb/
▼ 2017/09/20(水) Mac 用の端末アプリ iTerm2 に欠陥、パスワードなどをDNSサーバーに送信してしまう
Mac 用の端末アプリ iTerm2 に、パスワードなどを DNS サーバーに送信してしまう欠陥があることが判明しました。
Preferences → [Advanced] → [Sematic History] → [Perform DNS lookups to check if URLs are valid?] オプションが yes の場合(既定値で yes のようです)、パスワードなどが予期せず DNS サーバーに送られることがあります。DNS を通じてパスワードなどが漏洩するおそれがあります。
最新版の iTerm2 v3.1.1 では既定値で no に変更されています。最新版に更新するか、あるいは上記オプションを no に設定してください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0975/tb/
▼ 2017/09/20(水) システムメンテナンスツール「CCleaner」の改竄版が配布される
古くから広く利用されているシステムメンテナンスツール「CCleaner」の改竄版が正規サーバーから配布されるという事態が発生しました。
改竄されたのは CCleaner v5.33.6162 32-bit 版 (2017.08.15 公開) と CCleaner Cloud v1.07.3191 32-bit 版 (2017.08.24 公開) です。改竄版の CCleaner を実行すると、コンピューター名、IP アドレス、インストール済ソフトウェア一覧 (Windows アップデートを含む)、動作中プロセス一覧、最初の 3 つのネットワークアダプタの MAC アドレス、付随する情報 (プロセスが管理者権限を持つかどうか、64-bit システムかどうか、など) が外部に漏洩します。理工学部でも、改竄版の CCleaner の存在を確認しています。
龍大標準のアンチウイルスソフト Symantec Endpoint Protection は既に改竄版 CCleaner に対応しています。Trojan.Sibakdi として検出します。
CCleaner v5.34 および CCleaner Cloud 1.07.3214 は安全であることが確認されています。最新版をご利用ください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0974/tb/
▼ 2017/09/20(水) 各種 OS の Bluetooth 実装に欠陥、外部から勝手に機器を操作される
各種 OS の Bluetooth 実装に“BlueBorne”と呼ばれる欠陥があり、外部から勝手に情報を取得されたり機器を操作されたりされる恐れがあることが判明しています。
- Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 (JPCERT/CC)
Bluetooth 機能を無効に設定すれば、この欠陥は回避できます。不要な場合は、Bluetooth 機能は無効に設定してください。
各種 OS での状況を以下に示します。
Android
Android Security Bulletin—September 2017 の patch level 2017-09-01 で修正されています。各社の Android デバイスにおいてどのような対応状況かについては、各社にそれぞれご確認ください。
Google Play で確認ツール BlueBorne Vulnerability Scanner by Armis が公開されています。これによって欠陥の有無を確認できます。
iOS
iOS 10.x、tvOS 10.x では修正されています。最新の iOS、tvOS を利用してください。iOS 9.3.5 以前、tvOS 7.2.2 以前には欠陥があります。
Windows
Microsoft 2017 年 9 月 月例セキュリティ更新プログラムで修正されています。Windows Update などを利用して更新プログラムをインストールしてください。
Linux
各ディストリビューションから Bluetooth および・または Kernel の修正パッケージが配布されています。各ディストリビューション付属の更新ツールを利用して更新してください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0973/tb/
▼ 2017/09/20(水) 無線 LAN ルーターのセキュリティ欠陥について(コレガ CG-WLR300NM、NTT ドコモ Wi-Fi STATION L-02F)
2012年11月28日発売のコレガの無線 LAN ルーター CG-WLR300NM に複数のセキュリティ欠陥が発見されています。
CG-WLR300NM のサポートは終了しているため、上記欠陥は永遠に修正されません。CG-WLR300NM は廃棄し、別の機械に入れ換えてください。
2014年2月22日発売の NTTドコモ Wi-Fi STATION L-02F に、バックドア(裏口)機能が含まれている欠陥が発見されています。WAN 側から誰でも任意のコマンドを管理者権限で実行できてしまいます。
修正版ファームウェアが用意されています。上記リンクを参照して、アップデートしてください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0972/tb/
▼ 2017/09/20(水) Flash Player 27.0.0.130 公開
Flash Player 27.0.0.130 が 9 月 13 日に公開されました。2 件のセキュリティ欠陥が修正されています。
次のバージョンが最新となります。
プラットホーム | バージョン |
---|---|
Desktop Runtime (Windows, Mac) | 27.0.0.130 |
Google Chrome (Windows, Mac, Linux, Chrome OS) | 27.0.0.130 |
Windows Server 2012 の Internet Explorer 10 | 27.0.0.130 |
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 27.0.0.130 |
Windows 10 / Server 2016 の Internet Explorer 11 / Edge | 27.0.0.130 |
Linux | 27.0.0.130 |
Flash Player は狙われやすいソフトウェアの1つです。利用している方は速やかに更新してください。
なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。
Flash Player for Windows / Mac / Linux
Flash Player 27.0.0.130 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。
プラットホーム | ダウンロード | |
---|---|---|
Windows (27.0.0.130) | Internet Explorer (ActiveX) 用 | EXE ファイル、MSI ファイル |
Firefox (NPAPI プラグイン) 用 | EXE ファイル、MSI ファイル | |
Opera (PPAPI プラグイン) 用 | EXE ファイル、MSI ファイル | |
Mac (27.0.0.130) | OS X 用 | DMG ファイル |
Opera (PPAPI プラグイン) 用 | DMG ファイル | |
Linux (27.0.0.130) | Firefox (NPAPI プラグイン) 用 RPM | 32bit 版、64 bit 版 |
Firefox (NPAPI プラグイン) 用 tar.gz | 32bit 版、64 bit 版 | |
Opera (PPAPI プラグイン) 用 RPM | 32bit 版、64 bit 版 | |
Opera (PPAPI プラグイン) 用 tar.gz | 32bit 版、64 bit 版 |
以下にご注意ください。
- Flash Player 26 系列以前の更新は終了しました。Flash Player 27 系列に移行するか、あるいはアンインストールしてください。
- Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用のFlash Player はAdobe Flash Player Support Centerからダウンロードしてください。
- Google Chrome に内蔵されている Flash Player は自動的に更新されます。ただし、Chrome 本体とは異なり、すぐには更新されないようです。強制的に更新することもできません。利用者は Flash Player が上記のバージョン以降に更新されていることをchrome://plugins から確認してください。更新されていない場合は、更新されるまで無効に設定することを推奨します。
- Windows Server 2012 の Internet Explorer 10 専用版の Flash Player、Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 専用版の Flash Player、Windows 10 / Server 2016 の Internet Explorer 11 / Edge 用の Flash Playerの更新は Microsoft から提供されます。Microsoft Update や Microsoft Windows Software Update Servicesなどを利用して更新してください。Windows 7 のInternet Explorer 11 では、専用版ではなくInternet Explorer 汎用版を使用します。
- Windows Server 2012 / 2012 R2 / 2016 の Flash Player については「デスクトップ エクスペリエンス」機能をインストールしている場合にのみ利用可能となります。また Windows Server 2016 では「リモート デスクトップ セッション ホストの役割」をインストールする必要があります。
- Mac でインストールが途中で止まってしまう場合は、こちら を参照してください。
- Mac では、22.0.0.192 / 18.0.0.360 より前の Flash Player はブロックされるとApple から案内されています。参照:APPLE-SA-2016-06-20-2 OS X: Flash Player plug-in blocked (Apple)
- Windows では、Windows 7 SP1 / Server 2008 R2 上の IE 11 において、21.0.0.198 / 18.0.0.241 より前の Flash Player はブロックされると案内されています。参照:Blocking out-of-date Flash ActiveX controls on IE11 (Microsoft)
Flash Player for Android
Android 用の Flash Player の更新は終了しました。詳細は、Archived Flash Player versions の Flash Player for Android 4.0 archives と Flash Player for Android 2.x and 3.x archives を参照してください。
Flash Player バージョン確認方法
現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer、Firefox・Safari、Chrome、Opera とで個別に確認する必要があります。
関連キーワード: Flash Player
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0971/tb/
▼ 2017/09/20(水) Microsoft 2017 年 9 月 月例セキュリティ更新プログラム
Microsoft から 2017 年 9 月の月例セキュリティ更新プログラムが 9 月 13 日に公開されています。Internet Expolorer / Edge、Windows、Office / Office Server、Flash Player、Skype / Lync、.NET Framework、Exchange に関するセキュリティ欠陥が修正されています。
- 2017 年 9 月のセキュリティ更新プログラム (月例) (Microsoft)
Windows Update / Microsoft Update や Windows Software Update Services (WSUS) などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。
Mac 版 Office もセキュリティ欠陥の影響を受けます。ご利用の方は更新してください。
関連キーワード: Windows
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0970/tb/