FAMLog

iOSデバイス向けのソフトウェアアップデートとなるiOS 10.3.1の提供が開始されています。

iOS 10.3.1では、Wi-Fi関連のセキュリティ脆弱性が修正されており、通信範囲内にいる攻撃者からWi-Fiチップに対して任意のコードを実行される可能性がある問題が解決されています。

アップデートの対象機種は、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE、iPhone 7、iPhone 7 Plus、第6世代のiPod touch、第4世代のiPad、iPad Air、iPad Air 2、第5世代のiPad、iPad Pro（12.9インチ、9.7インチ）、iPad mini 2、iPad mini 3およびiPad mini 4です。

［関連］APPLE-SA-2017-03-27-4 iOS 10.3（FAMLog）

iOSデバイス向けのソフトウェアアップデートとなるiOS 10.3の提供が開始されています。

iOS 10.3では、“iPhoneを探す”を使用してAirPodsの所在を確認できるようになった他、ファイルシステムがApple File System（APFS）に切り替わります。新機能の追加や安定性の改善、不具合の修正だけでなく、セキュリティ脆弱性も多数修正されています。

アップデートの対象機種は、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE、iPhone 7、iPhone 7 Plus、第6世代のiPod touch、第4世代のiPad、iPad Air、iPad Air 2、iPad Pro（12.9インチ、9.7インチ）、iPad mini 2、iPad mini 3およびiPad mini 4です。

Appleからセキュリティ脆弱性の修正を含んだSafari 10.1が配布されています。

多数の脆弱性が修正されたSafari 10.1は、OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6で利用できます。また、同時に公開されたmacOS Sierra 10.12.4にもSafari 10.1が含まれています。

OS X Mavericks用のSafari 10は提供されておらず、OS X Yosemite以降にアップグレードすることが推奨される状況になっています。Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。

［関連］APPLE-SA-2017-03-27-3 macOS Sierra 10.12.4 and Security Update 2017-001（FAMLog）

macOS Sierra 10.12.4、OS X El Capitan v10.11.6用およびOS X Yosemite v10.10.5用のSecurity Update 2017-001が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれています。macOS Sierra 10.12.4では、Apache HTTP Serverがバージョン2.4.25に、PHPがバージョン5.6.30に、OpenSSHがバージョン7.4に更新されています。

FileMaker Serverはバージョン15.0.2以降でmacOS Sierraに対応していますが、バージョン14およびそれ以前のFileMaker ServerについてはmacOS Sierraに正式に対応する予定はない模様です。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 7.5」が公開されています。

OpenSSH 7.5では、OpenSSH 7.3で修正された攻撃の亜種が有効だったCBCパディングオラクル対抗策の弱点が修正された他、移植版OpenSSHにおいてバージョン1.0.1より前のOpenSSLがサポート対象外となっています。なお、OpenSSHクライアントはCBC暗号モードを用いる暗号をデフォルトで無効にしており、sshdはCBC暗号モードを用いる暗号を最低の優先順位で提供していて次のリリースでデフォルトでは完全に取り除かれる予定となっています。

将来廃止される機能の告知も行われており、2017年6月から8月頃にかけてSSH v.1プロトコルのサポートを全面的に廃止する計画や、BlowfishとRC4暗号、RIPE-MD160 HMACのサポートを削除する予定などが案内されています。

［参考］OpenSSH 7.5登場（マイナビニュース）、OpenSSH 7.5 がリリースされました（春山征吾のBlog）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョンであるOpenSSL 1.1.0eが公開されています。

OpenSSL 1.1.0eでは1点のセキュリティ脆弱性が修正されています。今回修正された脆弱性はOpenSSL 1.0.2系列には影響しないとのことです。OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日に、OpenSSLのバージョン1.0.1系統は2016年12月31日にセキュリティ修正を含むサポートが終了したため、今後はバージョン1.0.2系統もしくはバージョン1.1.0系統に移行する必要があります。

2017年2月時点で最新版であるFileMaker Pro 15.0.3およびFileMaker Server 15.0.3にはOpenSSL 1.0.2jが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降およびFileMaker Server 14.0.4a以降です。

OS X El Capitan用のSecurity Update 2016-003 Supplemental (10.11.6)が2017年1月中旬に公開されています。

Security Update 2016-003 Supplemental (10.11.6)は、OS X El Capitan v10.11.6向けに用意されているもので、Macがときどき応答しなくなるカーネルの問題が修正されています。

上記のアップデートは2016年12月にリリースされたOS X El Capitan v10.11.6用のSecurity Update 2016-003の追加アップデートとして新たに別途公開されたものとなっています。

［関連］APPLE-SA-2016-12-13-1 macOS 10.12.2（FAMLog）

LibreSSL 2.4.5とLibreSSL 2.3.10が公開されています。

LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 2.4.5およびLibreSSL 2.3.10にはセキュリティ脆弱性の修正が含まれています。

現時点でのLibreSSLの最新安定バージョンはバージョン2.4.5です。LibreSSLはバージョン2.5系統の開発も進められており、今回同時に開発版のバージョン2.5.1が公開された次第です。

［関連］OS X El CapitanおよびmacOS SierraのApache HTTP ServerではLibreSSLを利用（FAMLog）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2k」と「OpenSSL 1.1.0d」が公開されています。

OpenSSL 1.0.2kおよびOpenSSL 1.1.0dでは複数のセキュリティ脆弱性が修正されています。OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日に、OpenSSLのバージョン1.0.1系統は2016年12月31日にセキュリティ修正を含むサポートが終了したため、今後はバージョン1.0.2系統もしくはバージョン1.1.0系統に移行する必要があります。

2017年1月時点で最新版であるFileMaker Pro 15.0.3およびFileMaker Server 15.0.3にはOpenSSL 1.0.2jが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降およびFileMaker Server 14.0.4a以降です。

Appleからセキュリティ脆弱性の修正を含んだSafari 10.0.3が配布されています。

多数の脆弱性が修正されたSafari 10.0.3は、OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6で利用できます。また、同時に公開されたmacOS Sierra 10.12.3にもSafari 10.0.3が含まれています。

OS X Mavericks用のSafari 10は提供されておらず、OS X Yosemite以降にアップグレードすることが推奨される状況になっています。Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。

［関連］APPLE-SA-2017-01-23-2 macOS 10.12.3（FAMLog）