(筆者のコメント: 本日より、皆様の便宜を図るため、「バグと修正」記事は隔週で掲載されます。引き続き、月刊 PCWorld の印刷版で「バグと修正」コラムをお読みいただけます。)
4月もまだ半分が過ぎたばかりなのに、既に脆弱性は数え切れないほど多く存在します。今月、avast! は誤検知のウイルス定義をリリースし、無害なウェブサイトに多数の影響を与えました。その後、Microsoft は月例火曜日のパッチとして、64件の脆弱性を修正した17件の新しいセキュリティ情報をリリースしました。さらにその2日後、Apple はiOS 3.0から4.3.1までのソフトウェアアップデート、Safari 5.0.5、そしてiOSの証明書信頼ポリシーのセキュリティアップデートを含む、4件のセキュリティアップデートをリリースしました。
Avast! が誤検知ウイルス定義を公開
4月11日、avast! はアップデート 110411-1 で誤検知のウイルス定義をリリースしました。この定義にはエラーが含まれており、多数の無害なウェブサイトが感染していると判定されていました。avast! ブログの更新情報によると、「特定の形式のスクリプトを含むすべてのサイトが影響を受けました」とのことです。この不具合のあるアップデートのリリース後、Avast のウイルスラボのスタッフはすぐに問題を発見し、修正に着手しました。この問題を修正したアップデート 110411-2 は、誤検知のリリースから約45分後にリリースされました。
いつものように、ウイルス定義を最新の状態に保つよう努めてください。avast! をご利用の場合は、「自動更新」機能を有効にして、最新のウイルス定義とバグ修正をできるだけ早く入手してください。手動更新をご利用の場合は、avast! タスクバーの「更新」メニューから「エンジンとウイルス定義」を選択することで、avast! の最新バージョンを入手できます。この問題に関する詳細は、avast! のブログ(こちら)をご覧ください。
マイクロソフト、大規模パッチ火曜日リリース
今月、マイクロソフトは火曜日(4月12日)に17件のセキュリティ情報を含む大規模な修正プログラムをリリースしました。これらの修正プログラムは、64件もの脆弱性を修正するものです。MS11-018からMS11-034までの更新プログラムは、Internet Explorer、Windows、Office、.NET Framework、その他多数のシステムの脆弱性を修正します。これらの更新プログラムのうち9件は「緊急」、残りは「重要」と評価されています。
Windows版IE 6~8の深刻度が「緊急」と評価されている更新プログラムMS11-018は、5つの脆弱性を解決します。IEを使用して細工されたウェブページを閲覧した場合、攻撃者はシステム上の未修正の脆弱性を悪用してリモートコード実行を実行し、ローカルユーザーと同じ権限を取得する可能性があります。Microsoftによると、この更新プログラムは「Internet Explorerがメモリ内のオブジェクト、特定のプロセス中のコンテンツ、および特定のプロセス中のスクリプトを処理する方法を変更」することで、これらの脆弱性に対処します。
もう1つの更新プログラムMS11-033(深刻度「重要」)は、Microsoft Windowsに影響を与えるワードパッドテキストコンバータの脆弱性に対処します。この脆弱性により、ワードパッドを使用して細工されたファイルを開くと、リモートコード実行が可能になり、攻撃者がローカルユーザーと同じ権限を取得できる可能性があります。更新プログラムMS11-033は、ワードパッドテキストコンバータがこれらのカスタム攻撃配信ファイルを処理する方法を変更することで、このバグを修正します。
いつものように、システムへの悪用を防ぐために、Windows Update を使用してこれらの更新プログラムをできるだけ早くインストールしてください。各更新プログラムの詳細と手動でダウンロードするには、こちらの Microsoft セーフティ&セキュリティ センターをご覧ください。また、Tony Bradley による PCWorld のセキュリティアラート記事(こちら)もご覧ください。
Apple、証明書信頼ポリシーを更新
Appleは今月、4月14日に4つの新しいセキュリティアップデートをリリースしました。iOS 4.3.2ソフトウェアアップデート、iPhone向けiOS 4.2.7ソフトウェアアップデート、Safari 5.0.5、そしてセキュリティアップデート2011-002です。
iOS 4.3.2 ソフトウェア アップデートは、libxslt (GNOME プロジェクト (グラフィカル ユーザー インターフェイスおよびデスクトップ環境) 用のプログラミング言語ライブラリ)、QuickLook (ファイルのクイック プレビュー機能)、WebKit (Web ページをレンダリングできるブラウザーのレイアウト エンジン) など、多数の Apple 製品にパッチを適用します。
iOS 4.3.2ソフトウェアアップデートは、セキュリティアップデート2011-002およびiPhoneアップデートと併せて、証明書信頼ポリシーを更新し、先月盗難されたSSL証明書の脅威に対処します。SSL証明書は、ウェブサイトがブラウザに対して信頼性を証明するための安全な手段です。ブラウザが証明書が偽造されたものであると検出した場合、サイトをブロックし、警告を表示します。しかし、偽造証明書を使用しているサイトにアクセスした場合、セキュリティとプライバシーが危険にさらされる可能性があります。iPhoneアップデートではQuickLookも更新され、iPhoneアップデートとSafari 5.0.5の両方でWebkitのパッチも適用されます。
Mac は常に最新の状態にしておく必要があります。各アップデートの詳細については、ここにある Apple セキュリティ アップデート ページをご覧ください。
[写真「コンピュータウイルス」、joelogon (Flickr)より]
Twitter で James Mulroy をフォローして、微生物、恐竜、デスレイに関する最新ニュースを入手してください。
