Securityの最近のブログ記事

Flash Player 及び Adobe AIR セキュリティアップデートが公開されました。更新の詳細はこちら (英語) です。

Flash Player の対応した問題の影響度は一番高い "critical"、緊急度は Windows 版と Mac 版は実際に攻撃に利用される可能性を示す "1"、それ以外のプラットフォームは緊急度の低い "3" です。

新しい Flash Player のバージョンは以下の通りです。

  • 11.8.800.168 Windows、 OSX
  • 11.2.202.310 Linux
  • 11.1.115.81 Android 4.x
  • 11.1.111.73 Android 3.x と 2.x

Chrome はバージョンが少し異なり 11.8.800.170 となります。Windows 8 と Chrome 以外は Flash Player の自動更新機能で更新が行われているかと思います。

Flash Player のセキュリティアップデートが公開されました。特に、Windows と Mac 版は、攻撃の対象とされたことが判明している脆弱性の修正を含むため、緊急での更新が呼びかけられています。

新しい Flash Player のバージョンは以下の通りです。

  • 11.5.502.149 Windows と Mac OSX
  • 11.2.202.262 Linux
  • 11.1.115.37 Android 4.x
  • 11.1.111.32 Android 3.x と 2.x

Windows と Mac 以外のプラットフォームも緊急性は低いものの、影響度は一番高い Critical とされています。早めに更新しておいた方が良さそうな感じです。

Flash Player 11.4 のセキュリティアップデートが公開されました。特に、Windows 環境、次いで Mac 環境に影響の大きな問題に対する修正です。

Flash Player 11.4.402.278 以前の全てのバージョンが、脆弱性の影響を受けるとのことです (下 2 桁が入れ替わっただけなので注意)。全ての環境向けにアップデートが提供されています。

各プラットフォームそれぞれの新しいバージョンは以下の通りです。

  • デスクトップ (Linux 以外) : 11.4.402.287
  • デスクトップ (Linux) : 11.2.202.243
  • Android 4.x : 11.1.115.20
  • Android 3.x : 11.1.111.19

新しく公開された Flash Playre 11.3 には、3 つの大きなセキュリティ関連の変更が行われています。

以下は、そのリストです。

  • Apple Developer ID で署名され、OS X Mountain Lion (10.8) の Gatekeeper テクノロジーに対応
  • Mac OS X における Flash Player のバックグラウンド更新
  • Windows 上の Firefox での保護モードの追加

今週の WWDC での発表が噂されている OS X 10.8 では、Gatekeeper と呼ばれる、新しいセキュリティ機能が追加されるそうです。

これは、例えば設定を "Mac App Store と認証された開発者" のようにしておくと、設定に該当しないアプリをインストールしようとしたユーザに対しては Gatekeeper がブロックする、というもののようです。

Flash Player の新しいインキュベータ版が Adobe Labs に公開されました。 (Flash Player Incubator@Labs

今回公開されたのは、保護モードの Flash Player を Windows 7 もしくは Vista 上の Firefox 4.0 以降で利用可能にするものです。既に Google Chrome では利用可能になっている機能です。

公開されているのは 32 ビット版のみです。バージョンは 11.2.300.130 です。

ダウンロードはこちらのページから。 (Flash Player Incubator Download@Labs

インストール前に、既存の Flash Player のアンインストールが必要です。アンインストーラも上記リンクからダウンロードできます。アンインストーラは 32 ビット版と 64 ビット版があるので、インストールされている Flash Player に応じて選択できます。

既に Flash Player 11 の声が聞こえて来ている今日この頃ですが Flash Player 10.3 のセキュリティーアップデートが公開されています。

対象は、Flash Player デスクトップ版の 10.3.183.7 以前、及び Android 版 10.3.186.6 以前のバージョンです。

新しいバージョンは以下の通りです。

  • デスクトップ : 10.3.183.10
  • Android : 10.3.186.7

重要度は Critical (一番上) との位置づけられ、既にこの脆弱性を利用した攻撃が報告されているとのことですので、至急アップデートをお勧めします。現在インストールされているバージョンは、Flash Player についてで確認できます。

Flash Playre 及び AIR ランタイムのセキュリティーアップデートが公開されました。

Flash Player はデスクトップ版の 10.3.181.36 以前、及び Android 版 10.3.185.25 以前の全てのバージョンが対象です。AIR は 2.7 以前の全てのバージョンが対象です。

新しいバージョンは以下の通りです。

  • Flash Player
    • デスクトップ : 10.3.183.5
    • Android : 10.3.186.3
  • AIR
    • デスクトップ : 2.7.1
    • Android : 2.7.1.1961

今回修正された脆弱性を使った攻撃はいまのところ報告されていないそうですが、重要度は Critical (一番上) とのことなので、至急アップデートをお勧めします。

今月は何回もセキュリティーアップデートが公開されました。昨日の Android 版 Flash Player 更新後の最新バージョンは以下のようになっています。

  • デスクトップ:10.3.181.34
  • Android:10.3.185.25

既に攻撃の報告されている脆弱性に対する修正ですので、至急のアップデートをお勧めします。まだの方は、こちらから更新できます。(Flash Player ダウンロードセンター

インストールされているバージョンの確認はこちらが便利です。 (Flash Player について

デバッグプレーヤーの最新版は、サポートセンターからダウンロードできます。ちゃんと日本のサイトも更新されています。

Adobe AIR は、デスクトップ Android 共に 2.7.0.1948 が最新です。

 

IE9 の表示の問題に対応するアップデートが公開されて数日、こんどはセキュリティアップデートが公開されました。影響を受けるのは、以下のバージョンです。

  • デスクトップ版: 10.3.181.16 以前の全てのバージョン (Windows, Macintosh, Linux, Solaris)
  • Android 版: 10.3.185.22 以前の全てのバージョン

今回のアップデートは、クロスサイトスクリプト (CSS) の脆弱性に対応するものです。"重要" (4 段階で 2 番目に深刻) に位置づけられる脆弱性で、既にこの脆弱性を利用した攻撃も発見されているため、速やかな更新が推奨されています。

新しいバージョンは、

  • デスクトップ版 IE 用 ActiveX: 10.3.181.23
  • デスクトップ版その他のブラウザ用プラグイン: 10.3.181.22

です。

Android 用のアップデートは今週中に公開の予定だそうです。

既に Flash Player 10.3 (除くデバッグ版) をインストール済みの環境では、オートアップデートにより更新が通知されると思います。それ以外の環境では、Flash Player ダウンロードセンターにアクセスして、新規バージョンをインストールします。(http://www.adobe.com/go/getflashplayer_jp

Google Chrome に関しては、こちらのブログに更新情報があります。(Google Chrome Releases

デバッグ版は Flash Player サポートページから入手できます。相変わらずページ内のテキストは古いままですが、リンク先は最新版です。

現在インストールされているバージョンは、Flash Player 製品ページから確認できます。Android 上では、「設定」 → 「アプリケーション」 → 「アプリケーションの管理」 → 「Adobe Flash Player 10.x」 から確認できます。

 

先日報告された Flash Player 10.2 の脆弱性に対応するセキュリティーアップデートが公開されました。

今回公開されたのは、デスクトップ環境用の Flash Player で、既存の Flash Player がインストールされた環境では速やかにアップデートすることが推称されています。

最新のバージョンは、Flash Player 10.2.159.1 です。Adobe Flash Plaeyr ダウンロードページからダウンロードできます。

Chrome ユーザー向けには、Flash Player 10.2.154.27 が公開されています。Chrome のバージョンを 10.0.648.205 以降にアップデートすることで更新されます。(Google Chrome Releases

同時に AIR の更新も行われました。既存のバージョン AIR 2.6.19120 のアップデートとして、AIR 2.6.19140 が公開されています。こちらは、AIR ランタイムのダウンロードページからダウンロードできます。

Android 用 Flash Player のアップデートは、来週中の公開が予定されています。

 

先日報告のあった Flash Player の脆弱性について、更新版の公開予定が発表されました。

それによると、Windows, Macintosh, Linux, Solaris 版の更新は US 時間の 4/15 (金) に行われる予定だそうです。

Windows 版 Adobe Reader X を除く Acrobat/Adobe Reader のバージョン 10.x と 9.x は今月中の対応が予定されています。

 

Flash Player の脆弱性について Security Advisory (APSA11-02) に報告がありました。

影響を受けるのは以下のプラットフォームです。

  • Flash Player 10.2.153.1 以前のバージョン (Windows, Macintosh, Linux, Solaris)
  • Flash Player 10.2.154.25 以前のバージョン (Chrome)
  • Flash Player 10.2.156.12 以前のバージョン (Android)
  • Adobe Reader/Acrobat の 10.x または 9.x に含まれる Authplay.dll (Windows, Macintosh)

この脆弱性はシステムをクラッシュさせたり、システムをコントロールされる可能性があるもので critical と位置づけられています。SWF を埋め込んだ MS ワードファイルを添付したメールを送付して開かせる、という攻撃手段が報告されているそうです。Adobe Reader X の Windows 版では、プロテクトモードを使うとこの問題を避けることができるということです。

この脆弱性に対応したアップデート公開のスケジュールは現在調整中です。こちら情報が更新されたら、またお知らせします。

 

Flash Player のセキュリティーアップデートが公開されています。今回のバージョンは 10.1.102.64 です。最新版の Flash Player へのアップデートは、こちらの URL です。 (Adobe Flash Plaeyr ダウンロード

今回の更新は、Security Advisory APSA10-05 に記述されている脆弱性に対応するものです。全部で 18 のバグが修正されています。影響を受ける環境は、Windows、Mac、Linux、Solaris の Flash Player 10.1.85.3 以前のバージョン、もしくは Flash Player 10.1.95.1 がインストールされている Android です。

アプリケーションのクラッシュなど深刻な影響の出る可能性がある脆弱性のため、速やかな更新が推奨されています。Android 版のアップデートも今日中には公開される予定です。

Flash Player 10 がサポートされない環境 (Windows 98 や OS X 10.3 以前など) 向けには、Flash Player 9.0.289.0 が公開されています。 (Flash Player 9 for older operating systems

デバッグ版スタンドアローン版の Flash Player が必要な方は、Flash Player サポートセンターからダウンロードできます。10.1 と 9 どちらもダウンロードできます。 (Flash Player サポートセンター/ダウンロード

最新のアンインストーラはこちらから。(TechNote/Flash Player をアンインストールする方法

 

Flash Player のセキュリティアップデートが公開されました。先日お伝えした脆弱性に対応するものです。

10.1.82.76 以前のバージョンがインストールされている環境 (要は全てのデスクトップ環境) で、今回公開された Flash Player 10.1.85.3 のインストールが推奨されています。

最新版の Flash Player は、こちらの URL からダウンロードできます。(http://get.adobe.com/jp/flashplayer/

Android 向けには、10.1.92.10 のアップデートとして Flash Player 10.1.95.1 が公開されています。Android のマーケットプレイスから更新ができます。 (Android Marketplace: Flash Player

Windows 98 や OS X 10.3 以前など Flash Player 10 がサポートされない環境向けには、Flash Player 9 の更新版 9.0.283 が公開されています。 (Flash Player 9 for older operating systems

Google Chrome をお使いの方は Chrome 6.0.472.62 に更新すれば良いようです。

デバッグプレーヤやスタンドアローンプレーヤが必要な方には Flash Player サポートセンターにリンクがあります。10.1 と 9 両方とも揃っています。(Flash Player サポートセンター/ダウンロード

アンインストーラが必要な場合はこちらから。(ダウンロード/Web Player

 

Flash Player の脆弱性に関する情報が公開されました。Advisory for Adobe Flash Player (APSA10-03)

今回の件で影響を受けるのは、

  • Windows, Macintosh, Linux, Solaris 版の Flash Player 10.1.82.76 以前のバージョン
  • Android 版の Flash Player 10.1.92.10

です。

悪用された場合、クラッシュやシステムを制御される可能性もあるとのことです。既に、Windows 環境向けにアタックが発見されています。

既に、関連するセキュリティベンダーとは協業して対応が始まっており、当面は、アンチウィルスソフトの定義ファイルを最新にすることが推奨されています。

修正版は 9 月 27 日の週に公開が予定されています。

 

Flash Player 10.1 と AIR 2 から、セキュリティ関連の新しい機能が追加されました。他のドメインから読み込むファイルの種類を制限できる機能です。

セキュリティドメイン

新機能の前に、セキュリティドメインについて確認です。

セキュリティドメインは、Flash Player に読み込んだ SWF ファイルを管理するための機能です。同じセキュリティドメイン内のリソースには自由にアクセスできますが、他のセキュリティドメイン内のリソースには (通常) 勝手にアクセスできないようになっています。

基本的には、SWF ファイルの置かれているサーバーのドメインごとに、セキュリティドメインが作られます。例えば、最初に読み込まれた SWF ファイルと、その SWF ファイルが読み込んだ SWF ファイルが、それぞれ別のサーバーから読み込まれた場合、2 つのセキュリティドメインがつくられます。そして、2 つの SWF ファイルは、それぞれ対応するセキュリティドメイン内に置かれます。

"基本的に" と書いたのは、外部ドメインのファイルを、ファイルを要求した SWF のセキュリティドメインに読み込む手段があるからです。以下の 2 つの API が提供されています。

1 つ目は、LoaderContext.securityDomain 属性に、読み込む側のセキュリティドメインである SecurityDomain.currentDomain を設定してから Loader.load() メソッドを呼ぶ、というものです。これで、外部ドメインのファイルでも、load() を呼んだ SWF と同じセキュリティドメインに読み込まれます。下はそのサンプルです。

var ld:Loader = new Loader();
var lc:LoaderContext = new LoaderContext();
// 読み込む側のセキュリティドメインを指定
lc.securityDomain = SecurityDomain.currentDomain;
// 第2引数にLoaderContextを指定
ld.load(new URLRequest("http://not.my.domain.jp/foo.swf"), lc);
 

かなり遅くなってしまいましたが、Flash Player 10.1 からセキュリティ上の理由で変更された仕様関連の情報です。変更は全部で 4 つあります。

まず、以下の 3 つは、既存のコードに影響が出る可能性のある変更です。

リダイレクトされた URL の切り捨て

1 つ目は、SWF ファイルやイメージを読み込んだ後に、読み込んだファイルの URL がドメイン名までしか見えなくなる、というものです。

この影響を受ける属性は、AS 3 では LoaderInfo.url と Sound.url それから AS 1 / AS 2 では MovieClip._url です。これらの属性値が、例えば、http://sample.jp/xxx/yyy/my.swf のはずなのに http://sample.jp/ になっている、という場合が起こりえます。

この状況が起きるのは、以下の 3 つの条件すべてが揃った場合です。

  1. ファイルの読み込み中に HTTP リダイレクトが発生
  2. ファイルを要求した SWF のドメインと、読み込まれたファイルのドメインが異なる
  3. ファイルを要求した SWF が、読み込まれたファイルへのアクセス許可を持たない

リダイレクトが発生した場合、リダイレクト後のURL 情報を見せない、というのが新しいセキュリティポリシーのようです。

URL 情報が一部隠されているかどうか、を知らせるため、AS 3 には新しい属性が追加されています。LoaderInfo.isURLInaccessible と Sound.isURLInaccessible の 2 つです 。AS 1 / AS 2 には、状況を示す属性の追加はありません。

リダイレクトされて (条件 1 を満たす) 他のドメインからファイルを読み込んだんだけど (条件 2 を満たす) URL が知りたい!というときは、ファイルへのアクセス権を与えます ( 条件 3 を満たさなくなる)。 設定方法は、読み込むファイルのフォーマットによって異なります。

読み込んだファイルが SWF の場合は、読み込まれた SWF が Security.allowDomain (AS 3) または System.security.allowDomain (AS 1 / AS 2) を実行します。これにより、ファイルを要求した SWF にアクセス権を与えます。

読み込むファイルがイメージやサウンドの場合は、サーバー上のポリシーファイルを使ってアクセス許可を設定します。その際、読み込む側の SWF が AS 3 の場合には、LoaderContext.checkPolicyFile や SoundLoaderContext.checkPolicyFile の値を true にして、確実にポリシーファイルが読み込まれているようにするのが良いでしょう。

なお、この変更は AIR 2 のアプリケーションコンテンツには影響しません。Flash Player 10.1 上で実行される全ての SWF ファイルと、AIR 2 の非アプリケーションコンテンツが影響を受けます。

先日報告された脆弱性に対応した Flash Player と AIR に関する報告書が公開されました。(Security update available for Adobe Flash Player) 基本的には、本日公開された Flash Player 10.1 と AIR 2.0.2 にアップデートをするようにということです。

Solaris 版の Flash Player 10.1 はまだ公開されていませんが、Adobe Labs に公開されているプレリリース版を使用することが推奨されています。(Flash Player 10.1 for Solaris

また、Flash Player 10 のサポートしない環境のために Flash Player 9.0.277.0 も公開されました。(Flash Player 9 for Older Operating Systems

Flash Professional や Flex などの開発環境でも、Flash Player の更新が推奨されています。デバッグプレーヤーはサポートセンターからダウンロードできます。(Adobe Flash Player Support Center Downloads

Flash Player の脆弱性関する件についての情報が更新されました。(Security Advisory for Flash Player, Adobe Reader and Acrobat

新しい情報としては、

  • Adobe Labs に公開中の Flash Player 10.1 RC7 には、問題の脆弱性が存在しないことが確認された
  • Windows, Macintosh, Linux 向けの Flash Player 10 の更新版が 6 月 10 日に公開予定 (日本時間では 11 日になるかもしれません)
  • Solaris 向け Flash Player 10 の更新はまだ公開未定

となっています。

Adobe のセキュリティー広報から、Flash Player, Adobe Reader, Acrobat に関する脆弱性についての情報が公開されました。(Security Advisory for Flash Player, Adobe Reader and Acrobat

この脆弱性により、クラッシュや攻撃者がシステムのコントロールをできる可能性もあるとのことで、既に攻撃例も見つかっています。

Flash Player に関しては、影響を受けるのは Flash Player 10.0.45.2, 9.0.262 を含め 10.0.x と 9.0.x 全てのバージョンです。Windows 版、Macintosh 版、そして Linux と Solaris 版の全てが対象になります。

現在 Adobe Labs に公開中の Flash Player 10.1 RC7 では、この脆弱性は無い "らしい" ということです。

Adobe Reader と Acrobat については、バージョン 9 のみの問題で、バージョン 8 は大丈夫だそうです。

修正版の公開は決まり次第公開予定になっています。

2014年1月

Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
レンタルサーバー

月別 アーカイブ

Powered by Movable Type 4.261