Critical – 業務改善コンサルティング情報ブログ

Firefox74で致命的な脆弱性が

Shingo Takahashi — Mon, 06 Apr 2020 10:12:06 +0900

先月、Mozillaのブラウザソフト『Firefox』のデスクトップ向け最新版『Firefox 74』がリリースされていましたが、今回、致命的な脆弱性が発覚しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

最近、投稿が出来ない日が結構増えてきていますが、世の中の状況などもあり、暫くはこのような状況が続く可能性があります。

さて、冒頭に書いた通り、『Firefox 74』において致命的な脆弱性が発覚し、既に悪用事例も出ているということですのでご紹介します。

Firefox74で致命的な脆弱性発覚

配信されたのは今朝ほどでしょうか。

今回の脆弱性ですが、特定の条件下において解放後メモリ使用（Use-after-free）によって競合状態が発生するというものです。

深刻度は最高の『Critical（クリティカル）』とされており、これを悪用した攻撃も確認済みということで、早急な対応が求められています。

通常版：Firefox 74.0.1

企業向け延長サポート（ESR）版：Firefox 68.6.1 esr

このバージョンにて修正されています。

また、3月にリリースされた『Firefox 74』においては『TLS 1.0/1.1』のサポートが廃止されていることも付け加えておきます。

ご参考までに

2018年4月のセキュリティ更新

Shingo Takahashi — Thu, 12 Apr 2018 10:38:42 +0900

Microsoft（マイクロソフト）は4月10日（米国時間）、4月の月例セキュリティ更新プログラムを公開しました。

このセキュリティ更新プログラムには、深刻度が4段階で最も高い『Critical（緊急）』の脆弱性に対処したものが含まれています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、Microsoft（マイクロソフト）が公開した2018年4月のセキュリティ更新プログラムを受け、注意喚起が出ていますので、今日はその情報です。

2018年4月のマイクロソフトセキュリティ更新

2018年4月のセキュリティ更新プログラムの中には、深刻度が『Critical（緊急）』のセキュリティ更新プログラムが含まれており、脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるものへの対応も含まれているため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

今回のセキュリティ更新プログラムの中で、深刻度『緊急』となっているものは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・IE（Internet Explorer）のメモリ破損の脆弱性

・Chakraスクリプトエンジンのメモリ破損の脆弱性

・スクリプトエンジンの情報漏えいの脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・Windows VBScriptエンジンのリモートでコードが実行される脆弱性

・Microsoft Graphicsのリモートでコードが実行される脆弱性

・Microsoftブラウザーのメモリ破損の脆弱性

など

また、4月のセキュリティリリースは、全体的に以下のソフトウェアに対するセキュリティ更新プログラムが含まれています。

・IE（Internet Explorer）

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・Adobe Flash Player

・Microsoft Malware Protection Engine

・Microsoft Visual Studio

・Microsoft Azure IoT SDK

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

Java SEの重大な脆弱性の更新

Shingo Takahashi — Thu, 20 Apr 2017 12:18:06 +0900

Oracle（オラクル）は、四半期ごとに提供しているセキュリティアップデートである『Critical Patch Update』をリリースしました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、IPAやJPCERTにおいても注意喚起が促されている脆弱性情報をお届けします。

Java SEを今すぐアップデートせよ

Java SE JREは、Javaプログラムを実行するために必要なもので、多くのパソコンにおいてインストールされています。

いわゆるJava Runtimeと言われているものです（正確にはJava Runtime Environment）。

このJava Runtimeに複数の脆弱性があり、それが悪用された場合、リモートからの攻撃でJavaが不正終了したり、任意のコードが実行されてしまう恐れがあるとされています。

また、この脆弱性は開発者向けのJava SE JDKにも存在するため、どちらも今すぐアップデートする必要があります。

対象となるバージョンは、Java SE JRE/JDK 8 Update 121と、それ以前のバージョンで、Java SE JRE/JDK 6と7も影響を受けるようです。

現在、Oracleから修正済みのものが公開されていますので、いずれもJava SE JRE/JDK 8 Update 131にアップデートすることをお勧めします。

Java SE JREダウンロード先：https://java.com/ja/download/

Java SE JDKダウンロード先：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

これに限らず、日々配信される脆弱性情報などはできる限りチェックされることをお勧めします。