既に Flash Player 11 の声が聞こえて来ている今日この頃ですが Flash Player 10.3 のセキュリティーアップデートが公開されています。
対象は、Flash Player デスクトップ版の 10.3.183.7 以前、及び Android 版 10.3.186.6 以前のバージョンです。
新しいバージョンは以下の通りです。
重要度は Critical (一番上) との位置づけられ、既にこの脆弱性を利用した攻撃が報告されているとのことですので、至急アップデートをお勧めします。現在インストールされているバージョンは、Flash Player についてで確認できます。
Flash Playre 及び AIR ランタイムのセキュリティーアップデートが公開されました。
Flash Player はデスクトップ版の 10.3.181.36 以前、及び Android 版 10.3.185.25 以前の全てのバージョンが対象です。AIR は 2.7 以前の全てのバージョンが対象です。
新しいバージョンは以下の通りです。
今回修正された脆弱性を使った攻撃はいまのところ報告されていないそうですが、重要度は Critical (一番上) とのことなので、至急アップデートをお勧めします。
今月は何回もセキュリティーアップデートが公開されました。昨日の Android 版 Flash Player 更新後の最新バージョンは以下のようになっています。
既に攻撃の報告されている脆弱性に対する修正ですので、至急のアップデートをお勧めします。まだの方は、こちらから更新できます。(Flash Player ダウンロードセンター)
インストールされているバージョンの確認はこちらが便利です。 (Flash Player について)
デバッグプレーヤーの最新版は、サポートセンターからダウンロードできます。ちゃんと日本のサイトも更新されています。
Adobe AIR は、デスクトップ Android 共に 2.7.0.1948 が最新です。
IE9 の表示の問題に対応するアップデートが公開されて数日、こんどはセキュリティアップデートが公開されました。影響を受けるのは、以下のバージョンです。
今回のアップデートは、クロスサイトスクリプト (CSS) の脆弱性に対応するものです。"重要" (4 段階で 2 番目に深刻) に位置づけられる脆弱性で、既にこの脆弱性を利用した攻撃も発見されているため、速やかな更新が推奨されています。
新しいバージョンは、
です。
Android 用のアップデートは今週中に公開の予定だそうです。
既に Flash Player 10.3 (除くデバッグ版) をインストール済みの環境では、オートアップデートにより更新が通知されると思います。それ以外の環境では、Flash Player ダウンロードセンターにアクセスして、新規バージョンをインストールします。(http://www.adobe.com/go/getflashplayer_jp)
Google Chrome に関しては、こちらのブログに更新情報があります。(Google Chrome Releases)
デバッグ版は Flash Player サポートページから入手できます。相変わらずページ内のテキストは古いままですが、リンク先は最新版です。
現在インストールされているバージョンは、Flash Player 製品ページから確認できます。Android 上では、「設定」 → 「アプリケーション」 → 「アプリケーションの管理」 → 「Adobe Flash Player 10.x」 から確認できます。
先日報告された Flash Player 10.2 の脆弱性に対応するセキュリティーアップデートが公開されました。
今回公開されたのは、デスクトップ環境用の Flash Player で、既存の Flash Player がインストールされた環境では速やかにアップデートすることが推称されています。
最新のバージョンは、Flash Player 10.2.159.1 です。Adobe Flash Plaeyr ダウンロードページからダウンロードできます。
Chrome ユーザー向けには、Flash Player 10.2.154.27 が公開されています。Chrome のバージョンを 10.0.648.205 以降にアップデートすることで更新されます。(Google Chrome Releases)
同時に AIR の更新も行われました。既存のバージョン AIR 2.6.19120 のアップデートとして、AIR 2.6.19140 が公開されています。こちらは、AIR ランタイムのダウンロードページからダウンロードできます。
Android 用 Flash Player のアップデートは、来週中の公開が予定されています。
先日報告のあった Flash Player の脆弱性について、更新版の公開予定が発表されました。
それによると、Windows, Macintosh, Linux, Solaris 版の更新は US 時間の 4/15 (金) に行われる予定だそうです。
Windows 版 Adobe Reader X を除く Acrobat/Adobe Reader のバージョン 10.x と 9.x は今月中の対応が予定されています。
Flash Player の脆弱性について Security Advisory (APSA11-02) に報告がありました。
影響を受けるのは以下のプラットフォームです。
この脆弱性はシステムをクラッシュさせたり、システムをコントロールされる可能性があるもので critical と位置づけられています。SWF を埋め込んだ MS ワードファイルを添付したメールを送付して開かせる、という攻撃手段が報告されているそうです。Adobe Reader X の Windows 版では、プロテクトモードを使うとこの問題を避けることができるということです。
この脆弱性に対応したアップデート公開のスケジュールは現在調整中です。こちら情報が更新されたら、またお知らせします。
Flash Player のセキュリティーアップデートが公開されています。今回のバージョンは 10.1.102.64 です。最新版の Flash Player へのアップデートは、こちらの URL です。 (Adobe Flash Plaeyr ダウンロード)
今回の更新は、Security Advisory APSA10-05 に記述されている脆弱性に対応するものです。全部で 18 のバグが修正されています。影響を受ける環境は、Windows、Mac、Linux、Solaris の Flash Player 10.1.85.3 以前のバージョン、もしくは Flash Player 10.1.95.1 がインストールされている Android です。
アプリケーションのクラッシュなど深刻な影響の出る可能性がある脆弱性のため、速やかな更新が推奨されています。Android 版のアップデートも今日中には公開される予定です。
Flash Player 10 がサポートされない環境 (Windows 98 や OS X 10.3 以前など) 向けには、Flash Player 9.0.289.0 が公開されています。 (Flash Player 9 for older operating systems)
デバッグ版スタンドアローン版の Flash Player が必要な方は、Flash Player サポートセンターからダウンロードできます。10.1 と 9 どちらもダウンロードできます。 (Flash Player サポートセンター/ダウンロード)
最新のアンインストーラはこちらから。(TechNote/Flash Player をアンインストールする方法)
Flash Player のセキュリティアップデートが公開されました。先日お伝えした脆弱性に対応するものです。
10.1.82.76 以前のバージョンがインストールされている環境 (要は全てのデスクトップ環境) で、今回公開された Flash Player 10.1.85.3 のインストールが推奨されています。
最新版の Flash Player は、こちらの URL からダウンロードできます。(http://get.adobe.com/jp/flashplayer/)
Android 向けには、10.1.92.10 のアップデートとして Flash Player 10.1.95.1 が公開されています。Android のマーケットプレイスから更新ができます。 (Android Marketplace: Flash Player)
Windows 98 や OS X 10.3 以前など Flash Player 10 がサポートされない環境向けには、Flash Player 9 の更新版 9.0.283 が公開されています。 (Flash Player 9 for older operating systems)
Google Chrome をお使いの方は Chrome 6.0.472.62 に更新すれば良いようです。
デバッグプレーヤやスタンドアローンプレーヤが必要な方には Flash Player サポートセンターにリンクがあります。10.1 と 9 両方とも揃っています。(Flash Player サポートセンター/ダウンロード)
アンインストーラが必要な場合はこちらから。(ダウンロード/Web Player)
Flash Player の脆弱性に関する情報が公開されました。Advisory for Adobe Flash Player (APSA10-03)
今回の件で影響を受けるのは、
です。
悪用された場合、クラッシュやシステムを制御される可能性もあるとのことです。既に、Windows 環境向けにアタックが発見されています。
既に、関連するセキュリティベンダーとは協業して対応が始まっており、当面は、アンチウィルスソフトの定義ファイルを最新にすることが推奨されています。
修正版は 9 月 27 日の週に公開が予定されています。
Flash Player 10.1 と AIR 2 から、セキュリティ関連の新しい機能が追加されました。他のドメインから読み込むファイルの種類を制限できる機能です。
新機能の前に、セキュリティドメインについて確認です。
セキュリティドメインは、Flash Player に読み込んだ SWF ファイルを管理するための機能です。同じセキュリティドメイン内のリソースには自由にアクセスできますが、他のセキュリティドメイン内のリソースには (通常) 勝手にアクセスできないようになっています。
基本的には、SWF ファイルの置かれているサーバーのドメインごとに、セキュリティドメインが作られます。例えば、最初に読み込まれた SWF ファイルと、その SWF ファイルが読み込んだ SWF ファイルが、それぞれ別のサーバーから読み込まれた場合、2 つのセキュリティドメインがつくられます。そして、2 つの SWF ファイルは、それぞれ対応するセキュリティドメイン内に置かれます。
"基本的に" と書いたのは、外部ドメインのファイルを、ファイルを要求した SWF のセキュリティドメインに読み込む手段があるからです。以下の 2 つの API が提供されています。
1 つ目は、LoaderContext.securityDomain 属性に、読み込む側のセキュリティドメインである SecurityDomain.currentDomain を設定してから Loader.load() メソッドを呼ぶ、というものです。これで、外部ドメインのファイルでも、load() を呼んだ SWF と同じセキュリティドメインに読み込まれます。下はそのサンプルです。
var ld:Loader = new Loader();
var lc:LoaderContext = new LoaderContext();
// 読み込む側のセキュリティドメインを指定
lc.securityDomain = SecurityDomain.currentDomain;
// 第2引数にLoaderContextを指定
ld.load(new URLRequest("http://not.my.domain.jp/foo.swf"), lc);
かなり遅くなってしまいましたが、Flash Player 10.1 からセキュリティ上の理由で変更された仕様関連の情報です。変更は全部で 4 つあります。
まず、以下の 3 つは、既存のコードに影響が出る可能性のある変更です。
1 つ目は、SWF ファイルやイメージを読み込んだ後に、読み込んだファイルの URL がドメイン名までしか見えなくなる、というものです。
この影響を受ける属性は、AS 3 では LoaderInfo.url と Sound.url それから AS 1 / AS 2 では MovieClip._url です。これらの属性値が、例えば、http://sample.jp/xxx/yyy/my.swf のはずなのに http://sample.jp/ になっている、という場合が起こりえます。
この状況が起きるのは、以下の 3 つの条件すべてが揃った場合です。
リダイレクトが発生した場合、リダイレクト後のURL 情報を見せない、というのが新しいセキュリティポリシーのようです。
URL 情報が一部隠されているかどうか、を知らせるため、AS 3 には新しい属性が追加されています。LoaderInfo.isURLInaccessible と Sound.isURLInaccessible の 2 つです 。AS 1 / AS 2 には、状況を示す属性の追加はありません。
リダイレクトされて (条件 1 を満たす) 他のドメインからファイルを読み込んだんだけど (条件 2 を満たす) URL が知りたい!というときは、ファイルへのアクセス権を与えます ( 条件 3 を満たさなくなる)。 設定方法は、読み込むファイルのフォーマットによって異なります。
読み込んだファイルが SWF の場合は、読み込まれた SWF が Security.allowDomain (AS 3) または System.security.allowDomain (AS 1 / AS 2) を実行します。これにより、ファイルを要求した SWF にアクセス権を与えます。
読み込むファイルがイメージやサウンドの場合は、サーバー上のポリシーファイルを使ってアクセス許可を設定します。その際、読み込む側の SWF が AS 3 の場合には、LoaderContext.checkPolicyFile や SoundLoaderContext.checkPolicyFile の値を true にして、確実にポリシーファイルが読み込まれているようにするのが良いでしょう。
なお、この変更は AIR 2 のアプリケーションコンテンツには影響しません。Flash Player 10.1 上で実行される全ての SWF ファイルと、AIR 2 の非アプリケーションコンテンツが影響を受けます。
先日報告された脆弱性に対応した Flash Player と AIR に関する報告書が公開されました。(Security update available for Adobe Flash Player) 基本的には、本日公開された Flash Player 10.1 と AIR 2.0.2 にアップデートをするようにということです。
Solaris 版の Flash Player 10.1 はまだ公開されていませんが、Adobe Labs に公開されているプレリリース版を使用することが推奨されています。(Flash Player 10.1 for Solaris)
また、Flash Player 10 のサポートしない環境のために Flash Player 9.0.277.0 も公開されました。(Flash Player 9 for Older Operating Systems)
Flash Professional や Flex などの開発環境でも、Flash Player の更新が推奨されています。デバッグプレーヤーはサポートセンターからダウンロードできます。(Adobe Flash Player Support Center Downloads)
Flash Player の脆弱性関する件についての情報が更新されました。(Security Advisory for Flash Player, Adobe Reader and Acrobat)
新しい情報としては、
となっています。
Adobe のセキュリティー広報から、Flash Player, Adobe Reader, Acrobat に関する脆弱性についての情報が公開されました。(Security Advisory for Flash Player, Adobe Reader and Acrobat)
この脆弱性により、クラッシュや攻撃者がシステムのコントロールをできる可能性もあるとのことで、既に攻撃例も見つかっています。
Flash Player に関しては、影響を受けるのは Flash Player 10.0.45.2, 9.0.262 を含め 10.0.x と 9.0.x 全てのバージョンです。Windows 版、Macintosh 版、そして Linux と Solaris 版の全てが対象になります。
現在 Adobe Labs に公開中の Flash Player 10.1 RC7 では、この脆弱性は無い "らしい" ということです。
Adobe Reader と Acrobat については、バージョン 9 のみの問題で、バージョン 8 は大丈夫だそうです。
修正版の公開は決まり次第公開予定になっています。
Flash Player のセキュリティアップデートが公開されました。クロスドメインに関連する脆弱性に対応するためのものです。Flash Player 10.0.42.34 以前および AIR 1.5.3.1920 以前のバージョンを利用している環境では速やかに最新版に更新することが推奨されています。それぞれの最新バージョンは以下の通りです。
Flash Player: 10.0.45.2
Adobe AIR: 1.5.3.1930
Flash Player の場合は Flashコンテンツ上で右クリックして表示されるメニューから 「Adobe (または Macromedia) Flash Player について」 を選択すると、現在インストールされているバージョンを表示する Web ページが表示されます。
AIR のバージョンは以下のディレクトリを確認します。
ダウンロードはそれぞれ以下のリンクからどうぞ。
Flash Player ダウンロード: http://get.adobe.com/jp/flashplayer/
Adobe AIR ダウンロード: http://get.adobe.com/jp/air/
デバッグプレーヤーやオーサリング環境用は、Flash サポートセンターからダウンロードできます。(Adobe Flash Support Center/Downloads)
Microsoft から Active Template Library (ATL) の臨時パッチがリリースされましたが、この件に関して、Adobe 製品からは Flash Player と Shockwave Player が影響を受けます。どちらも Windows 上で IE のプラグインとして使用する時のみ問題となり、他のブラウザ内や他の OS 上で使う場合は対象外となります。
Flash Player については修正版が 7/30 にリリースされる予定です。Shockwave Player は対応済みのバージョン (11.5.0.601) が既に公開されています。(http://get.adobe.com/shockwave/?loc=jp)
Adobe のセキュリティアドバイザリからは、対応としてまずは MS から提供されるパッチを適用することが推奨されています。手動でダウンロードする場合はこちらのページから。(マイクロソフト セキュリティ情報 MS09-034)
Flash player と Acrobat セキュリティ情報
Flash Player および Acrobat の脆弱性に関する情報が公開されました。対象となるバージョンは、以下の通りです。
昨日ポストされたセキュリティアドバイザリ (Security advisory for Adobe Reader, Acrobat and Flash Player) によると、Flash Player については 7 月 30 日に (Solaris 版は未定) Adobe Reader および Acrobat については 7 月 31 日に (UNIX 版 Reader は未定) 対応版を公開できるよう修正を進めているとのことです。
上記の記事では、当面の対応として、Windows Vista をご利用の方はユーザーアカウント制御 (UAC) を有効にする、また、ウイルス対策ソフトのベンダーとも情報を共有しているのでウイルス定義ファイルを最新にする、怪しいサイトにはアクセスしない、が推奨されています。
今後、新しい情報については、Adobe Product Security Incident Response Team (PSIRT) blog に公開される予定です。
Linux 版の Flash Player の新バージョンが公開されました。新しいバージョンは 10.0.15.3 です。(http://get.adobe.com/jp/flashplayer/)
セキュリティ上の問題点に対応するため、全ての Linux 版 Flash Player をお使いの方にアップデートをお勧めします。また、本日公開された AIR 1.5 のバッジインストール機能を Linux 上で利用するにも、この最新バージョンが必要になります。
RHEL4 等の Flash Player 10 にアップデートできない環境のためには 9.0.152.0 が提供されています。サポートページから Linux 用のファイルをダウンロードしてお使いください。(最新版 Flash Player をサポートしていないオペレーティングシステム用の Flash Player 9)
Flash Player 9 のアップデート版 (9.0.151.0) が公開されました。これは、クリックジャッキング等のセキュリティ関連の問題に対応したバージョンです。
基本的には Flash Player 10 にアップデートすることをお勧めしています。今回のリリースは、あくまで以下の Flash Player 10 のサポート対象外になるプラットフォームのために行われたものです。
これらの OS をお使いの方は、既知の問題に対応するために、以下のリンクから Flash Player をダウンロードしてください。(Flash Player 9 for Unsupported Operating Systems)
