既に一部の脆弱性の悪用が確認されていることもあり、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、Microsoft（マイクロソフト）が公開した2018年5月のセキュリティ更新プログラムがリリースされましたが、緊急度の高い脆弱性の修正が含まれていますので、今日はその情報です。

2018年5月のマイクロソフトセキュリティ更新

2018年5月のセキュリティ更新プログラムの中には、深刻度が『緊急』、『重要』のセキュリティ更新プログラムが含まれており、既に悪用が確認されているところもあるため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

本日公開されたセキュリティ更新プログラムは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Servers および Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・Microsoft Exchange Server

・Windows Host Compute Service Shim

また、新たに確認された脆弱性の最大深刻度と影響は以下の通りです。

・Windows 10 および Windows Server 2016 (Microsoft Edge を含む)：緊急／リモートコードが実行される

・Windows 8.1 および Windows Server 2012 R2：緊急／リモートコードが実行される

・Windows Server 2012：緊急／リモートコードが実行される

・Windows RT 8.1：緊急／リモートコードが実行される

・Windows 7 および Windows Server 2008 R2：緊急／リモートコードが実行される

・Windows Server 2008：緊急／リモートコードが実行される

・Internet Explorer：緊急／リモートコードが実行される

・Microsoft Office 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft SharePoint 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft Exchange Server：重要／リモートコードが実行される

・Microsoft .NET ソフトウェア：重要／セキュリティ機能のバイパス

・SDK for Azure IoT：重要／情報漏えい

・ChakraCore：重要／リモートコードが実行される

・Adobe Flash Player：重要／リモートコードが実行される

・Windows Host Compute Service Shim：重要／リモートコードが実行される

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

このセキュリティ更新プログラムには、深刻度が4段階で最も高い『Critical（緊急）』の脆弱性に対処したものが含まれています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、Microsoft（マイクロソフト）が公開した2018年4月のセキュリティ更新プログラムを受け、注意喚起が出ていますので、今日はその情報です。

2018年4月のマイクロソフトセキュリティ更新

2018年4月のセキュリティ更新プログラムの中には、深刻度が『Critical（緊急）』のセキュリティ更新プログラムが含まれており、脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるものへの対応も含まれているため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

今回のセキュリティ更新プログラムの中で、深刻度『緊急』となっているものは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・IE（Internet Explorer）のメモリ破損の脆弱性

・Chakraスクリプトエンジンのメモリ破損の脆弱性

・スクリプトエンジンの情報漏えいの脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・Windows VBScriptエンジンのリモートでコードが実行される脆弱性

・Microsoft Graphicsのリモートでコードが実行される脆弱性

・Microsoftブラウザーのメモリ破損の脆弱性

など

また、4月のセキュリティリリースは、全体的に以下のソフトウェアに対するセキュリティ更新プログラムが含まれています。

・IE（Internet Explorer）

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・Adobe Flash Player

・Microsoft Malware Protection Engine

・Microsoft Visual Studio

・Microsoft Azure IoT SDK

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては個人に限らず、仕事仲間や業務連絡などにおいても『LINE』を活用している人は多いでしょう。

そのコミュニケーションアプリ『LINE』において脆弱性が発覚しましたので、今日はそれをお伝えします。

iOS版LINEにおける脆弱性とは

まず、LINE株式会社の公式ホームページには以下のように掲載されています。

【概要】

コミュニケーションアプリ「LINE」 iOS版（ver7.1.3～7.15）において、アプリに組み込まれたサードパーティ製SDK の脆弱性に起因した SSL サーバ証明書の検証不備の脆弱性があり、信用出来ないネットワーク(※1)を使って「LINE」 iOS版 を利用し特定の暗号通信を行った場合、その内容の盗聴や改竄が行われる恐れがありました。この問題は、2017年11月24日にリリースしたバージョン 7.16で修正されました。

本件脆弱性の影響は、LINE内で表示される各サービスや、外部サービスを利用する際の通信(外部サービスのID・パスワード等を含む)が対象となります。LINEのテキストによるトークの内容(※2)や、LINEのログイン情報（パスワード）、無料通話、ビデオ通話は影響を受けません。

※1 悪意を持って設置されたWiFiアクセスポイントなど
※2 一部の画像や動画などをダウンロードする際の通信は影響を受ける可能性があります

このような内容です。

この問題で影響があるのはiOS版のLINEのみで、Android、Mac OS、Windows版のLINEは影響を受けません。

また、iOS版LINEにおいても影響があるのはバージョン7.1.3～7.15で、7.1.3未満のバージョン、7.16以降のバージョンでは影響を受けません。

ただし、よくあるケースとしてはアプリケーションのアップデートを放置しているなどの場合、運悪く影響があるバージョンで止まったままになっている可能性が考えられるため、直ぐに最新バージョンにアップデートしておくことをお勧めします。

もしバージョン確認をしてから対応を考えるという方は、『設定』⇒『LINEについて』からバージョンが確認できますが、基本的にはアップデート版がリリースされる都度、最新のものにアップデートしておくべきでしょう。

＜参考記事＞

JVN#75453852　iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性

【脆弱性情報】「LINE」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ