JPCERT-WR-2012-3301
2012-08-29
2012-08-19
2012-08-25
Adobe Flash Player に複数の脆弱性
Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-19.html
Adobe Flash Player には複数の脆弱性があります。結果として、第三者が細工
したコンテンツをユーザに開かせることで、任意のコードを実行をしたり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 11.3.300.271 およびそれ以前 (Windows、Macintosh)
- Adobe Flash Player 11.2.202.236 およびそれ以前 (Linux)
- Adobe Flash Player 11.1.115.11 およびそれ以前 (Android 4.x)
- Adobe Flash Player 11.1.111.10 およびそれ以前 (Android 3.x および 2.x)
- Adobe AIR 3.3.0.3670 およびそれ以前 (Windows、Macintosh)
- Adobe AIR 3.3.0.3690 SDK (AIR for iOS を含む) およびそれ以前
- Adobe AIR 3.3.0.3650 およびそれ以前 (Android)
この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
および Adobe AIR を更新することで解決します。詳細については、Adobe が提
供する情報を参照して下さい。
警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=9944
独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性の修正について(APSB12-19)(CVE-2012-4163等)
http://www.ipa.go.jp/security/ciadr/vul/20120822-adobe.html
Adobe Security Bulletin
APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq08220315.html
JPCERT/CC Alert 2012-08-22 JPCERT-AT-2012-0026
Adobe Flash Player の脆弱性 (APSB12-19) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120026.html
MS-CHAP v2 の認証情報漏えいの問題
JPCERT/CC Alert 2012-08-23 JPCERT-AT-2012-0027
MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120027.html
PPTP ベースの VPN 接続をする場合の認証メソッドとして広く使用されている
MS-CHAP v2 には、認証情報を第三者に窃取されるという問題があります。結果
として、暗号化された通信を復号したり、取得した認証情報を使用してシステ
ムに不正にアクセスしたりする可能性があります。
お使いの環境に応じて、適切な対策をご検討ください。
マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314
日本のセキュリティチーム
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
IETF
RFC2759: Microsoft PPP CHAP Extensions, Version 2
http://tools.ietf.org/html/rfc2759
Apple Remote Desktop に脆弱性
JC3 Bulletin
U-240: Apple Remote Desktop Encryption Failure Lets Remote Users Obtain Potentially Sensitive Information
http://energy.gov/cio/articles/u-240-apple-remote-desktop-encryption-failure-lets-remote-users-obtain-potentially
Apple Remote Desktop には、通信時にデータが暗号化されない可能性がありま
す。結果として、第三者が通信内容を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Apple Remote Desktop 3.5.1 より後のバージョン
この問題は Apple Remote Desktop バージョン 3.6.1 で修正されています。詳
細については、Apple が提供する情報を参照して下さい。
Apple
About the security content of Apple Remote Desktop 3.6.1
http://support.apple.com/kb/HT5433
Java セキュアコーディング 連続セミナー @東京 参加者ひきつづき募集中
JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
す。
9月からは東京を会場として「Java セキュアコーディング 連続セミナー@東京」
(全4回) を開催します。
これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
ディングについて、より実践的に学んでいただける内容となっています。
なお、第1回についてはすでに満員となっておりますが、第2回以降はひきつ
づき募集中です。ふるってご参加ください。
■ Java セキュアコーディング 連続セミナー @ 東京
第2回「数値データの取扱いと入力値検査」
2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- )
第3回「入出力(File, Stream)と例外時の動作」
2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- )
第4回「メソッドとセキュリティ」
2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- )
[会場]
エッサム神田ホール 401
東京都千代田区神田鍛冶町3-2-2
http://www.essam.co.jp/hall/access/index.html
[定員] 55名/回
なお、スケジュール等は予告なく変更する場合があります。Web で最
新情報をご確認ください。
JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html
JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
JPCERT/CC Web コメントフォーム追加のお知らせ
2012年8月7日に、JPCERT/CC Web サイトで提供しているコンテンツの中で、利
用頻度や資料性の高いものを中心にコメントフォームを追加いたしました。
追加したフォームは、公開した情報が役に立った/立たなかったを簡単に評価い
ただけるラジオボタンと、ご意見・ご感想を入力いただけるフォームの 2つで
す。
セキュリティ情報やひとくちメモに取り上げてほしい内容など募集しておりま
す。よりよい情報提供が行えるよう、JPCERT/CC のコンテンツに対する皆様か
らのご意見・ご感想をお待ちしております。
JPCERT/CC
コメントフォーム追加のお知らせ
https://www.jpcert.or.jp/pr/2012/feedback/