JPCERT コーディネーションセンター

Weekly Report 2012-08-29号

JPCERT-WR-2012-3301
JPCERT/CC
2012-08-29

<<< JPCERT/CC WEEKLY REPORT 2012-08-29 >>>

■08/19(日)〜08/25(土) のセキュリティ関連情報

目 次

【1】Adobe Flash Player に複数の脆弱性

【2】MS-CHAP v2 の認証情報漏えいの問題

【3】Apple Remote Desktop に脆弱性

【4】Java セキュアコーディング 連続セミナー @東京 参加者ひきつづき募集中

【今週のひとくちメモ】JPCERT/CC Web コメントフォーム追加のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123301.txt
https://www.jpcert.or.jp/wr/2012/wr123301.xml

【1】Adobe Flash Player に複数の脆弱性

情報源

Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-19.html

概要

Adobe Flash Player には複数の脆弱性があります。結果として、第三者が細工
したコンテンツをユーザに開かせることで、任意のコードを実行をしたり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 11.3.300.271 およびそれ以前 (Windows、Macintosh)
- Adobe Flash Player 11.2.202.236 およびそれ以前 (Linux)
- Adobe Flash Player 11.1.115.11 およびそれ以前 (Android 4.x)
- Adobe Flash Player 11.1.111.10 およびそれ以前 (Android 3.x および 2.x)
- Adobe AIR 3.3.0.3670 およびそれ以前 (Windows、Macintosh)
- Adobe AIR 3.3.0.3690 SDK (AIR for iOS を含む) およびそれ以前
- Adobe AIR 3.3.0.3650 およびそれ以前 (Android)

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
および Adobe AIR を更新することで解決します。詳細については、Adobe が提
供する情報を参照して下さい。

関連文書 (日本語)

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=9944

独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性の修正について(APSB12-19)(CVE-2012-4163等)
http://www.ipa.go.jp/security/ciadr/vul/20120822-adobe.html

Adobe Security Bulletin
APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq08220315.html

JPCERT/CC Alert 2012-08-22 JPCERT-AT-2012-0026
Adobe Flash Player の脆弱性 (APSB12-19) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120026.html

【2】MS-CHAP v2 の認証情報漏えいの問題

情報源

JPCERT/CC Alert 2012-08-23 JPCERT-AT-2012-0027
MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120027.html

概要

PPTP ベースの VPN 接続をする場合の認証メソッドとして広く使用されている
MS-CHAP v2 には、認証情報を第三者に窃取されるという問題があります。結果
として、暗号化された通信を復号したり、取得した認証情報を使用してシステ
ムに不正にアクセスしたりする可能性があります。

お使いの環境に応じて、適切な対策をご検討ください。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314

日本のセキュリティチーム
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx

IETF
RFC2759: Microsoft PPP CHAP Extensions, Version 2
http://tools.ietf.org/html/rfc2759

【3】Apple Remote Desktop に脆弱性

情報源

JC3 Bulletin
U-240: Apple Remote Desktop Encryption Failure Lets Remote Users Obtain Potentially Sensitive Information
http://energy.gov/cio/articles/u-240-apple-remote-desktop-encryption-failure-lets-remote-users-obtain-potentially

概要

Apple Remote Desktop には、通信時にデータが暗号化されない可能性がありま
す。結果として、第三者が通信内容を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Apple Remote Desktop 3.5.1 より後のバージョン

この問題は Apple Remote Desktop バージョン 3.6.1 で修正されています。詳
細については、Apple が提供する情報を参照して下さい。

関連文書 (英語)

Apple
About the security content of Apple Remote Desktop 3.6.1
http://support.apple.com/kb/HT5433

【4】Java セキュアコーディング 連続セミナー @東京 参加者ひきつづき募集中

情報源

JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
す。

9月からは東京を会場として「Java セキュアコーディング 連続セミナー@東京」
(全4回) を開催します。

これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
ディングについて、より実践的に学んでいただける内容となっています。

なお、第1回についてはすでに満員となっておりますが、第2回以降はひきつ
づき募集中です。ふるってご参加ください。

      ■ Java セキュアコーディング 連続セミナー @ 東京

         第2回「数値データの取扱いと入力値検査」
         2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- )

         第3回「入出力(File, Stream)と例外時の動作」
         2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- )

         第4回「メソッドとセキュリティ」
         2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- )

        [会場]
         エッサム神田ホール 401
         東京都千代田区神田鍛冶町3-2-2
         http://www.essam.co.jp/hall/access/index.html

        [定員] 55名/回

         なお、スケジュール等は予告なく変更する場合があります。Web で最
         新情報をご確認ください。

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○JPCERT/CC Web コメントフォーム追加のお知らせ

2012年8月7日に、JPCERT/CC Web サイトで提供しているコンテンツの中で、利
用頻度や資料性の高いものを中心にコメントフォームを追加いたしました。

追加したフォームは、公開した情報が役に立った/立たなかったを簡単に評価い
ただけるラジオボタンと、ご意見・ご感想を入力いただけるフォームの 2つで
す。

セキュリティ情報やひとくちメモに取り上げてほしい内容など募集しておりま
す。よりよい情報提供が行えるよう、JPCERT/CC のコンテンツに対する皆様か
らのご意見・ご感想をお待ちしております。

参考文献 (日本語)

JPCERT/CC
コメントフォーム追加のお知らせ
https://www.jpcert.or.jp/pr/2012/feedback/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter