悪性のフラッシュ・ファイル 2007年7月13日
注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■悪性のフラッシュ・ファイル■
危険度:中
日付:2007年7月13日
【概要:】
米国時間の7月10日、Adobeは同社の人気のある「Flash Player(フラッシュ・プレイヤー)」の重要なセキュリティ問題についてアラートをリリースした。
攻撃者は、不正作成したFlash (.SWF)ファイルをユーザーにダウンロード及び、再生させることで欠陥を悪用し、ユーザーのウィンドウズ、Linux、OS Xコンピューターなどでコードを実行することができるようになる。場合によっては、被害者のコンピューターを完全にコントロールすることも可能だ。
管理者は、できる限り早急に「Flash Player 9.0.47.0」又は「Flash Player 8.0.35.0」をダウンロードし、ネットワーク全体に導入することを勧める。
Flash とは?
http://ja.wikipedia.org/wiki/Adobe_Flash
【問題の詳細:】
「Adobe Flash Player」は、Flash(フラッシュ)と呼ばれるウェブで扱うためのインタラクティブな動画を表示する。これは、通常Shockwave (.SWF) ファイルとして形式化されている。
AdobeのFlashプレイヤーは、インターネット・エクスプローラ(IE)など、様々なウェブ・ブラウザーにディフォルトで搭載されている。又、色々なオペレーティング・システムでの使用が可能となっている。
Adobeがリリースしたアラートは「Flash Player 9.0.45.0」及びそれ以前のバージョンに、存在する重要なセキュリティ問題について警告している。
Adobeはこの欠陥に関する詳細は提供しておらず、単に「入力確認の欠陥」と呼んでいる。
攻撃者は、不正作成した「.SWF」ファイルをユーザーにダウンロード及び、再生させると、脆弱性を悪用して、そのユーザー・レベルの権限を獲得した状態でコードを実行する。
仕掛けを付けたFlashファイルをユーザーに送るには、攻撃者はおそらくそれをウェブサイトにホストしたり、HTML形式のメールで送信したりするだろう。
ウィンドウズの管理者は、大方の場合ユーザーにローカル管理者の権限を与えるため、攻撃者はおそらくこの欠陥を悪用することで、被害者のウィンドウズ・コンピューターを完全にコントロールすることができるようになるだろう。
Adobeは、全てのオペレーティング・システムを対象に修正プログラムをリリースしているので、この悪用が成功した場合にはLinux、Unix、Apple OS Xなどにおいて、コード実行がおこなわれてしまうものと推測する。だが、その権限レベルは低い可能性もあるだろう。
Adobeによるアラート(英文)
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Adobe日本語のサポート・ページ
http://www.adobe.com/jp/support/security/
旧バージョンのFlashには、その他にも別のセキュリティ問題があると報告されている。
Adobeによると「Flash Player8.0.34.0 (及びそれ以前のバージョン)」には、HTTPに関連する確認問題があるという。この問題は、攻撃者がクロスサイト・リクエスト偽造の攻撃を実行できるようにする。
つまり、「ウェブサイトA」に行ったユーザーが「ウェブサイトB」に行くリンクをクリックすると、「ウェブサイトB」をホストするサーバーに対し、HTTPリクエストがスタートする。
リクエストには「ウェブサイトA」のURLがあり、どこからリクエストが来たのかを示す。
「Flash Player」は、特定されたリクエスト送信元が実際のものなのか、適切に確認しないため、攻撃者はHTTPリクエストをそのマシーンから送ったように偽造することが可能になる。
この技術は、ウェブ・サーバーがユーザーの機密情報を攻撃者に送るように偽造することも可能にする。
【対策:】
Adobeは、こうした問題を修正する「Flash Player」の新しいバージョンをリリースしている。
Adobeを使用しているオペレーティング・システムの種類にかかわらず、できる限り早急に最新バージョンの「Flash Player」をダウンロードし、導入することを勧める。
下記のリンクをクリックすると、Adobeのウェブ・ページが使用しているプラットフォームを自動的に読み取り、状況に適したFlashバージョンを表示するようになっている(我々のテストによると、ウィンドウズ・ユーザーの大方には「9.0.47.0バージョン」が提示された。「Flashバージョン9」にアップグレードしていない場合は「バージョン8.0.35.0」が表示されるかもしれない。どちらのバージョンも、この問題を修正しているとAdobeは述べている)。
Adobeダウンロード・センター(日本語版)
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
(注意:)
インターネット・エクスプローラでダウンロード先のリンクをクリックした場合、FlashのアップデートとYahoo!ツールバーがページに表示されることがある。
Flashの脆弱性を修正するためにYahoo!ツールバーは必要ないため、ダウンロードしないことを勧める。
Adobeの「Flash Player」は、他のAdobe製品(及び旧マクロメディア)にも搭載されている。影響を受けている製品リストや、製品のアップデートや詳細を知りたい場合はAdobeのアラートを参照することを勧める。
【ステータス:】
Adobeはこの問題を修正するアップデートをリリースしている。
【参考資料:】
Adobeによるアラート(英文)
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Adobe日本語のサポート・ページ
http://www.adobe.com/jp/support/security/
調査:Steve Fallin、Nathan Buff、Scott Pinzon
文:Scott Pinzon CISSP
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■悪性のフラッシュ・ファイル■
危険度:中
日付:2007年7月13日
【概要:】
米国時間の7月10日、Adobeは同社の人気のある「Flash Player(フラッシュ・プレイヤー)」の重要なセキュリティ問題についてアラートをリリースした。
攻撃者は、不正作成したFlash (.SWF)ファイルをユーザーにダウンロード及び、再生させることで欠陥を悪用し、ユーザーのウィンドウズ、Linux、OS Xコンピューターなどでコードを実行することができるようになる。場合によっては、被害者のコンピューターを完全にコントロールすることも可能だ。
管理者は、できる限り早急に「Flash Player 9.0.47.0」又は「Flash Player 8.0.35.0」をダウンロードし、ネットワーク全体に導入することを勧める。
Flash とは?
http://ja.wikipedia.org/wiki/Adobe_Flash
【問題の詳細:】
「Adobe Flash Player」は、Flash(フラッシュ)と呼ばれるウェブで扱うためのインタラクティブな動画を表示する。これは、通常Shockwave (.SWF) ファイルとして形式化されている。
AdobeのFlashプレイヤーは、インターネット・エクスプローラ(IE)など、様々なウェブ・ブラウザーにディフォルトで搭載されている。又、色々なオペレーティング・システムでの使用が可能となっている。
Adobeがリリースしたアラートは「Flash Player 9.0.45.0」及びそれ以前のバージョンに、存在する重要なセキュリティ問題について警告している。
Adobeはこの欠陥に関する詳細は提供しておらず、単に「入力確認の欠陥」と呼んでいる。
攻撃者は、不正作成した「.SWF」ファイルをユーザーにダウンロード及び、再生させると、脆弱性を悪用して、そのユーザー・レベルの権限を獲得した状態でコードを実行する。
仕掛けを付けたFlashファイルをユーザーに送るには、攻撃者はおそらくそれをウェブサイトにホストしたり、HTML形式のメールで送信したりするだろう。
ウィンドウズの管理者は、大方の場合ユーザーにローカル管理者の権限を与えるため、攻撃者はおそらくこの欠陥を悪用することで、被害者のウィンドウズ・コンピューターを完全にコントロールすることができるようになるだろう。
Adobeは、全てのオペレーティング・システムを対象に修正プログラムをリリースしているので、この悪用が成功した場合にはLinux、Unix、Apple OS Xなどにおいて、コード実行がおこなわれてしまうものと推測する。だが、その権限レベルは低い可能性もあるだろう。
Adobeによるアラート(英文)
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Adobe日本語のサポート・ページ
http://www.adobe.com/jp/support/security/
旧バージョンのFlashには、その他にも別のセキュリティ問題があると報告されている。
Adobeによると「Flash Player8.0.34.0 (及びそれ以前のバージョン)」には、HTTPに関連する確認問題があるという。この問題は、攻撃者がクロスサイト・リクエスト偽造の攻撃を実行できるようにする。
つまり、「ウェブサイトA」に行ったユーザーが「ウェブサイトB」に行くリンクをクリックすると、「ウェブサイトB」をホストするサーバーに対し、HTTPリクエストがスタートする。
リクエストには「ウェブサイトA」のURLがあり、どこからリクエストが来たのかを示す。
「Flash Player」は、特定されたリクエスト送信元が実際のものなのか、適切に確認しないため、攻撃者はHTTPリクエストをそのマシーンから送ったように偽造することが可能になる。
この技術は、ウェブ・サーバーがユーザーの機密情報を攻撃者に送るように偽造することも可能にする。
【対策:】
Adobeは、こうした問題を修正する「Flash Player」の新しいバージョンをリリースしている。
Adobeを使用しているオペレーティング・システムの種類にかかわらず、できる限り早急に最新バージョンの「Flash Player」をダウンロードし、導入することを勧める。
下記のリンクをクリックすると、Adobeのウェブ・ページが使用しているプラットフォームを自動的に読み取り、状況に適したFlashバージョンを表示するようになっている(我々のテストによると、ウィンドウズ・ユーザーの大方には「9.0.47.0バージョン」が提示された。「Flashバージョン9」にアップグレードしていない場合は「バージョン8.0.35.0」が表示されるかもしれない。どちらのバージョンも、この問題を修正しているとAdobeは述べている)。
Adobeダウンロード・センター(日本語版)
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
(注意:)
インターネット・エクスプローラでダウンロード先のリンクをクリックした場合、FlashのアップデートとYahoo!ツールバーがページに表示されることがある。
Flashの脆弱性を修正するためにYahoo!ツールバーは必要ないため、ダウンロードしないことを勧める。
Adobeの「Flash Player」は、他のAdobe製品(及び旧マクロメディア)にも搭載されている。影響を受けている製品リストや、製品のアップデートや詳細を知りたい場合はAdobeのアラートを参照することを勧める。
【ステータス:】
Adobeはこの問題を修正するアップデートをリリースしている。
【参考資料:】
Adobeによるアラート(英文)
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Adobe日本語のサポート・ページ
http://www.adobe.com/jp/support/security/
調査:Steve Fallin、Nathan Buff、Scott Pinzon
文:Scott Pinzon CISSP