securityの最近のブログ記事

Flash Player 10.3.183.5 と Adobe AIR 2.7.1 セキュリティアップデート公開

Flash Playre 及び AIR ランタイムのセキュリティーアップデートが公開されました。

Flash Player はデスクトップ版の 10.3.181.36 以前、及び Android 版 10.3.185.25 以前の全てのバージョンが対象です。AIR は 2.7 以前の全てのバージョンが対象です。

新しいバージョンは以下の通りです。

  • Flash Player
    • デスクトップ : 10.3.183.5
    • Android : 10.3.186.3
  • AIR
    • デスクトップ : 2.7.1
    • Android : 2.7.1.1961

今回修正された脆弱性を使った攻撃はいまのところ報告されていないそうですが、重要度は Critical (一番上) とのことなので、至急アップデートをお勧めします。

続きを読む: Flash Player 10.3.183.5 と Adobe AIR 2.7.1 セキュリティアップデート公開
ackie (2011年8月10日 10:05) | コメント(4) | トラックバック(0)

 

Flash Player 10.2.159.1 セキュリティーアップデート公開

先日報告された Flash Player 10.2 の脆弱性に対応するセキュリティーアップデートが公開されました。

今回公開されたのは、デスクトップ環境用の Flash Player で、既存の Flash Player がインストールされた環境では速やかにアップデートすることが推称されています。

最新のバージョンは、Flash Player 10.2.159.1 です。Adobe Flash Plaeyr ダウンロードページからダウンロードできます。

Chrome ユーザー向けには、Flash Player 10.2.154.27 が公開されています。Chrome のバージョンを 10.0.648.205 以降にアップデートすることで更新されます。(Google Chrome Releases

同時に AIR の更新も行われました。既存のバージョン AIR 2.6.19120 のアップデートとして、AIR 2.6.19140 が公開されています。こちらは、AIR ランタイムのダウンロードページからダウンロードできます。

Android 用 Flash Player のアップデートは、来週中の公開が予定されています。

 

ackie (2011年4月16日 12:53) | コメント(0) | トラックバック(0)

 

Adobe AIR 2.0.4 セキュリティーアップデート公開

AIR のセキュリティーアップデートが公開されました。新しいバージョンは 2.0.4 になります。

先日報告のあった脆弱性 (Flash Player セキュリティ関連情報) に対応するもので、修正内容は既に公開されている Flash Player 10.1.92.10 アップデートと同じです。

 

 

ackie (2010年10月 7日 17:17) | コメント(0) | トラックバック(0)

 

Flash Player 10.1 と AIR 2 のセキュリティ新機能

Flash Player 10.1 と AIR 2 から、セキュリティ関連の新しい機能が追加されました。他のドメインから読み込むファイルの種類を制限できる機能です。

セキュリティドメイン

新機能の前に、セキュリティドメインについて確認です。

セキュリティドメインは、Flash Player に読み込んだ SWF ファイルを管理するための機能です。同じセキュリティドメイン内のリソースには自由にアクセスできますが、他のセキュリティドメイン内のリソースには (通常) 勝手にアクセスできないようになっています。

基本的には、SWF ファイルの置かれているサーバーのドメインごとに、セキュリティドメインが作られます。例えば、最初に読み込まれた SWF ファイルと、その SWF ファイルが読み込んだ SWF ファイルが、それぞれ別のサーバーから読み込まれた場合、2 つのセキュリティドメインがつくられます。そして、2 つの SWF ファイルは、それぞれ対応するセキュリティドメイン内に置かれます。

"基本的に" と書いたのは、外部ドメインのファイルを、ファイルを要求した SWF のセキュリティドメインに読み込む手段があるからです。以下の 2 つの API が提供されています。

1 つ目は、LoaderContext.securityDomain 属性に、読み込む側のセキュリティドメインである SecurityDomain.currentDomain を設定してから Loader.load() メソッドを呼ぶ、というものです。これで、外部ドメインのファイルでも、load() を呼んだ SWF と同じセキュリティドメインに読み込まれます。下はそのサンプルです。

var ld:Loader = new Loader();
var lc:LoaderContext = new LoaderContext();
// 読み込む側のセキュリティドメインを指定
lc.securityDomain = SecurityDomain.currentDomain;
// 第2引数にLoaderContextを指定
ld.load(new URLRequest("http://not.my.domain.jp/foo.swf"), lc);
続きを読む: Flash Player 10.1 と AIR 2 のセキュリティ新機能
ackie (2010年8月19日 16:14) | コメント(0) | トラックバック(0)

 

Flash Player 10.1 と AIR 2 のセキュリティ仕様変更

かなり遅くなってしまいましたが、Flash Player 10.1 からセキュリティ上の理由で変更された仕様関連の情報です。変更は全部で 4 つあります。

まず、以下の 3 つは、既存のコードに影響が出る可能性のある変更です。

リダイレクトされた URL の切り捨て

1 つ目は、SWF ファイルやイメージを読み込んだ後に、読み込んだファイルの URL がドメイン名までしか見えなくなる、というものです。

この影響を受ける属性は、AS 3 では LoaderInfo.url と Sound.url それから AS 1 / AS 2 では MovieClip._url です。これらの属性値が、例えば、http://sample.jp/xxx/yyy/my.swf のはずなのに http://sample.jp/ になっている、という場合が起こりえます。

この状況が起きるのは、以下の 3 つの条件すべてが揃った場合です。

  1. ファイルの読み込み中に HTTP リダイレクトが発生
  2. ファイルを要求した SWF のドメインと、読み込まれたファイルのドメインが異なる
  3. ファイルを要求した SWF が、読み込まれたファイルへのアクセス許可を持たない

リダイレクトが発生した場合、リダイレクト後のURL 情報を見せない、というのが新しいセキュリティポリシーのようです。

URL 情報が一部隠されているかどうか、を知らせるため、AS 3 には新しい属性が追加されています。LoaderInfo.isURLInaccessible と Sound.isURLInaccessible の 2 つです 。AS 1 / AS 2 には、状況を示す属性の追加はありません。

リダイレクトされて (条件 1 を満たす) 他のドメインからファイルを読み込んだんだけど (条件 2 を満たす) URL が知りたい!というときは、ファイルへのアクセス権を与えます ( 条件 3 を満たさなくなる)。 設定方法は、読み込むファイルのフォーマットによって異なります。

読み込んだファイルが SWF の場合は、読み込まれた SWF が Security.allowDomain (AS 3) または System.security.allowDomain (AS 1 / AS 2) を実行します。これにより、ファイルを要求した SWF にアクセス権を与えます。

読み込むファイルがイメージやサウンドの場合は、サーバー上のポリシーファイルを使ってアクセス許可を設定します。その際、読み込む側の SWF が AS 3 の場合には、LoaderContext.checkPolicyFile や SoundLoaderContext.checkPolicyFile の値を true にして、確実にポリシーファイルが読み込まれているようにするのが良いでしょう。

なお、この変更は AIR 2 のアプリケーションコンテンツには影響しません。Flash Player 10.1 上で実行される全ての SWF ファイルと、AIR 2 の非アプリケーションコンテンツが影響を受けます。

続きを読む: Flash Player 10.1 と AIR 2 のセキュリティ仕様変更
ackie (2010年8月18日 16:38) | コメント(0) | トラックバック(0)

 

Flash Player と AIR のセキュリティアップデート

先日報告された脆弱性に対応した Flash Player と AIR に関する報告書が公開されました。(Security update available for Adobe Flash Player) 基本的には、本日公開された Flash Player 10.1 と AIR 2.0.2 にアップデートをするようにということです。

Solaris 版の Flash Player 10.1 はまだ公開されていませんが、Adobe Labs に公開されているプレリリース版を使用することが推奨されています。(Flash Player 10.1 for Solaris

また、Flash Player 10 のサポートしない環境のために Flash Player 9.0.277.0 も公開されました。(Flash Player 9 for Older Operating Systems

Flash Professional や Flex などの開発環境でも、Flash Player の更新が推奨されています。デバッグプレーヤーはサポートセンターからダウンロードできます。(Adobe Flash Player Support Center Downloads

ackie (2010年6月11日 07:46) | コメント(0) | トラックバック(0)

 

Flash Player セキュリティアップデート公開 (10.0.45.2)

Flash Player のセキュリティアップデートが公開されました。クロスドメインに関連する脆弱性に対応するためのものです。Flash Player 10.0.42.34 以前および AIR 1.5.3.1920 以前のバージョンを利用している環境では速やかに最新版に更新することが推奨されています。それぞれの最新バージョンは以下の通りです。

Flash Player: 10.0.45.2
Adobe AIR: 1.5.3.1930

Flash Player の場合は Flashコンテンツ上で右クリックして表示されるメニューから 「Adobe (または Macromedia) Flash Player について」 を選択すると、現在インストールされているバージョンを表示する Web ページが表示されます。

AIR のバージョンは以下のディレクトリを確認します。

  • Windows: \Program Files\Common Files\Adobe AIR\Versions\x.x の Adobe AIR.dll を右クリック、プロパティを表示して 「バージョン」 タブを選択
  • Mac OS X: /Library/Frameworks/AIR.framework/Versions/1.0/Resources/Info.plist ファイルを開き <key>CFBundleVersion</key> に対応するエントリー <string>1.5.x.xxxx</string> を探す
  • Linux: /opt/Adobe AIR/Versions/x.x/Resources 内のテキストファイルの記述を参照

ダウンロードはそれぞれ以下のリンクからどうぞ。

Flash Player ダウンロード: http://get.adobe.com/jp/flashplayer/
Adobe AIR ダウンロード: http://get.adobe.com/jp/air/

デバッグプレーヤーやオーサリング環境用は、Flash サポートセンターからダウンロードできます。(Adobe Flash Support Center/Downloads

ackie (2010年2月12日 12:54) | コメント(2) | トラックバック(0)

 
« 4 | メインページ | アーカイブ | windowing API »

2014年1月

Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

検索

my twitter follow me on twitter
レンタルサーバー

カテゴリ

月別 アーカイブ

Powered by Movable Type 4.261