-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-3301 JPCERT/CC 2012-08-29 <<< JPCERT/CC WEEKLY REPORT 2012-08-29 >>> ―――――――――――――――――――――――――――――――――――――― ■08/19(日)〜08/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に複数の脆弱性 【2】MS-CHAP v2 の認証情報漏えいの問題 【3】Apple Remote Desktop に脆弱性 【4】Java セキュアコーディング 連続セミナー @東京 参加者ひきつづき募集中 【今週のひとくちメモ】JPCERT/CC Web コメントフォーム追加のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr123301.html https://www.jpcert.or.jp/wr/2012/wr123301.xml ============================================================================ 【1】Adobe Flash Player に複数の脆弱性 情報源 Adobe Security Bulletin Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-19.html 概要 Adobe Flash Player には複数の脆弱性があります。結果として、第三者が細工 したコンテンツをユーザに開かせることで、任意のコードを実行をしたり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 11.3.300.271 およびそれ以前 (Windows、Macintosh) - Adobe Flash Player 11.2.202.236 およびそれ以前 (Linux) - Adobe Flash Player 11.1.115.11 およびそれ以前 (Android 4.x) - Adobe Flash Player 11.1.111.10 およびそれ以前 (Android 3.x および 2.x) - Adobe AIR 3.3.0.3670 およびそれ以前 (Windows、Macintosh) - Adobe AIR 3.3.0.3690 SDK (AIR for iOS を含む) およびそれ以前 - Adobe AIR 3.3.0.3650 およびそれ以前 (Android) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player および Adobe AIR を更新することで解決します。詳細については、Adobe が提 供する情報を参照して下さい。 関連文書 (日本語) 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=9944 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性の修正について(APSB12-19)(CVE-2012-4163等) http://www.ipa.go.jp/security/ciadr/vul/20120822-adobe.html Adobe Security Bulletin APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq08220315.html JPCERT/CC Alert 2012-08-22 JPCERT-AT-2012-0026 Adobe Flash Player の脆弱性 (APSB12-19) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120026.html 【2】MS-CHAP v2 の認証情報漏えいの問題 情報源 JPCERT/CC Alert 2012-08-23 JPCERT-AT-2012-0027 MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120027.html 概要 PPTP ベースの VPN 接続をする場合の認証メソッドとして広く使用されている MS-CHAP v2 には、認証情報を第三者に窃取されるという問題があります。結果 として、暗号化された通信を復号したり、取得した認証情報を使用してシステ ムに不正にアクセスしたりする可能性があります。 お使いの環境に応じて、適切な対策をご検討ください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (2743314) カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる https://technet.microsoft.com/ja-jp/security/advisory/2743314 日本のセキュリティチーム セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開 http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx IETF RFC2759: Microsoft PPP CHAP Extensions, Version 2 http://tools.ietf.org/html/rfc2759 【3】Apple Remote Desktop に脆弱性 情報源 JC3 Bulletin U-240: Apple Remote Desktop Encryption Failure Lets Remote Users Obtain Potentially Sensitive Information http://energy.gov/cio/articles/u-240-apple-remote-desktop-encryption-failure-lets-remote-users-obtain-potentially 概要 Apple Remote Desktop には、通信時にデータが暗号化されない可能性がありま す。結果として、第三者が通信内容を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Apple Remote Desktop 3.5.1 より後のバージョン この問題は Apple Remote Desktop バージョン 3.6.1 で修正されています。詳 細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple About the security content of Apple Remote Desktop 3.6.1 http://support.apple.com/kb/HT5433 【4】Java セキュアコーディング 連続セミナー @東京 参加者ひきつづき募集中 情報源 JPCERT/CC Java セキュアコーディング 連続セミナー @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html 概要 JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 9月からは東京を会場として「Java セキュアコーディング 連続セミナー@東京」 (全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 なお、第1回についてはすでに満員となっておりますが、第2回以降はひきつ づき募集中です。ふるってご参加ください。 ■ Java セキュアコーディング 連続セミナー @ 東京 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) [会場] エッサム神田ホール 401 東京都千代田区神田鍛冶町3-2-2 http://www.essam.co.jp/hall/access/index.html [定員] 55名/回 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 関連文書 (日本語) JPCERT/CC Java セキュアコーディング 連続セミナー @東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html JPCERT/CC Java セキュアコーディングスタンダード CERT/Oracle 版 https://www.jpcert.or.jp/java-rules/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC Web コメントフォーム追加のお知らせ 2012年8月7日に、JPCERT/CC Web サイトで提供しているコンテンツの中で、利 用頻度や資料性の高いものを中心にコメントフォームを追加いたしました。 追加したフォームは、公開した情報が役に立った/立たなかったを簡単に評価い ただけるラジオボタンと、ご意見・ご感想を入力いただけるフォームの 2つで す。 セキュリティ情報やひとくちメモに取り上げてほしい内容など募集しておりま す。よりよい情報提供が行えるよう、JPCERT/CC のコンテンツに対する皆様か らのご意見・ご感想をお待ちしております。 参考文献 (日本語) JPCERT/CC コメントフォーム追加のお知らせ https://www.jpcert.or.jp/pr/2012/feedback/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQPXg4AAoJEDF9l6Rp7OBIBzQH/A9p6pP45MNBDDVWvrlpU6Wt BqBv/jJsRWdTiTc57wBlcvRZi/if/+2HEedUprXGgppU0yWO0MnKmVAjEBQCwX33 3TLY6ZS/MjnqDJ2Ae095tEhjdtmihOKz9PRJVc7PQl+grN5suhez5J8A5eHnY7S7 hfJ7QYvoi+B+vXkM3ANprvQCOKY8ShCnzRv87ApqdJF8+LAcZF5X5imQ07nAQpXz 6IcwDcifiGWr9ix+T3auRhFi1RFHKNXDpm2wshVhknQ2oy3lCZnVrFcdiNaP/dvh 45spoY4uURI9kBK8PZFgJazdGBSyKlUwOixJH29uxi8cE/78OtVhixKwEDYygmo= =aVwd -----END PGP SIGNATURE-----