※号外エントリを公開しています。
→Windows向けセキュリティアップデート情報:2014年7月 号外
本日までに発表された月刊セキュリティアップデート情報概要まとめです。
1.Windows Update:2014年7月月例
<参考>2014 年 7 月のセキュリティ情報
- MS14-037
Internet Explorer 用の累積的なセキュリティ更新プログラム (2975687) - MS14-038
Windows Journal の脆弱性により、リモートでコードが実行される (2975689) - MS14-039
スクリーン キーボードの脆弱性により、特権が昇格される (2975685) - MS14-040
Ancillary Function ドライバー (AFD) の脆弱性により、特権が昇格される (2975684) - MS14-041
DirectShow の脆弱性により、特権が昇格される (2975681) - MS14-042
Microsoft Service Bus の脆弱性により、サービス拒否が起こる (2972621
2.Adobe関連
- Flash Player(日本語リンク)(緊急度:Critical,Priority:1)
リリース日:2014.07.08
Windows向け:14.0.0.145
Rosetta Flash は、英数字のみに変換したSWFファイルとJSONPを組み合わせた攻撃。クロスドメインアクセスの仕組みJSONPを使う多くのウェブサービスについて、Cookieを盗んでセッションの乗っ取りやユーザー情報窃取などの可能性がある深刻な脆弱性です。
~中略~
Rosetta Flash のキモは、悪用の可能性を減らすためcallbackに英数字しか返さないJSONPを通すために、本来はバイナリのSWFファイルを無理やり英数字だけに変換して、しかも有効なSWFとして実行できるよう符号化する点。 当然対策すべき大穴を見落としていたというよりは、まさか通れるとは思わなかった通気口からニューっと侵入してきたようなイメージです。
変換したSWFでJSONPを悪用する Rosetta Flash ハック公開。Flash最新版で対策 - Engadget Japaneseより
今回の脆弱性を発見したGoogleのエンジニアMichele Spagnuolo氏のBlog Abusing JSONP with Rosetta Flash に拠ると、以下のサイトで脆弱性が存在するとされています。
- Googleドメイン(7/8対処済み)
- YouTube(7/8対処済み)
- Twitter(7/8対処済み)
- Instagram(7/9対処済み)
- Tumbler(7/9対処済み)
- Olark(7/9対処済み)
- eBay
3.Google Chrome 35
- Flash Player Update - Chrome Releases
- リリース日:2014.07.08
- 内容:Flash Playerの更新(バージョンの変更なし)
次回のWindows月例アップデートは2014年8月13日(水)予定。
また、Javaの次回更新も7月15日に予定されています。
- セキュリティ情報リリース スケジュール - TechCenter