フラッシュ・プレイヤーのアップデート版、ゼロデイ問題を修正 2008年4月9日
フラッシュ・プレイヤーのアップデート版、ゼロデイ問題を修正
危険度:高
日付:2008年4月9日
【概要】
・対象:
Adobeフラッシュ・プレイヤー9.0.115.0及びそれ以前のバージョン。
ウィンドウズ、OS X、Unix、Linuxにおける8.0.39.0及びそれ以前のバージョン。
・悪用法:
細工された悪性のフラッシュ(.SWF)ファイルをユーザーに再生させるなど、様々な攻撃方法がある。
・影響:
その影響は様々だが最悪の場合、攻撃者は被害者のコンピューターでコードを実行し、そのコンピューターをコントロールできるようになる。
・対策:
できる限り早急にフラッシュ・プレイヤー9.0.124.0を導入すること。
【詳細】
Adobeのフラッシュ・プレイヤーは「Flash(フラッシュ)」と呼ばれるインタラクティブな動画のウェブコンテンツを表示し、通常「Shockwave(ショックウェーブ)」(.SWF)ファイルとしてフォーマットされる。Adobeのフラッシュ・プレイヤーは、様々なウェブ・ブラウザーでディフォルトとして搭載されている。インターネット・エクスプローラ(IE)もその例だ。又、様々なオペレーティング・システムにおいても実行されている。
Adobeは米国時間の4月9日にリリースされたアラートで、バージョン9.0.115.0までさかのぼるフラッシュ・プレイヤーのバージョン全てにおいて影響を与えている複数のセキュリティ脆弱性について警告した。脆弱性のレベルが重大なものが多数ある。
Adobeは、このセキュリティ問題に関し詳細を説明していない。中でも悪質な脆弱性は「入力検証のエラー」と説明されている。「入力検証」とは、つまりこういうことだ。入力を受け入れるあらゆるスクリプトやプログラムは(ユーザーからの直接入力および他のプログラムによる入力)、その入力内容をチェックし、予期しているタイプであることを確かめるべきであるとされている。しかし、入力検証の欠陥でよく見られる例としては、予期した文字数を受け取った後もその入力をカットすることに失敗したり、その入力を許可するプログラムにおいて特別な意味合いを持つメタ文字を拒否することに失敗する場合などが挙げられる。
攻撃者がフラッシュ・プレイヤーの入力検証欠陥を悪用するには、悪性のショックウェーブ・フラッシュ・ファイル(.SWF)を作成し、ユーザーにそれをダウンロードさせ、再生させなければならない。その悪性のファイルはウェブサイトでホストされていたり、HTML形式のメールで送信されたり、フラッシュを埋め込んだアプリケーション経由で送られたりする。フラッシュによる入力検証が無効になっている場合にユーザーがそのファイルを再生すると、攻撃者はユーザーの権限を持った状態で、そのユーザーのコンピューターでコードを実行することができる。ウィンドウズ管理者は大抵の場合ユーザーにローカル管理者の権限を与えているため、攻撃者はこうした欠陥を悪用し、被害者のコンピューターを完全にコントロールできるようになる可能性がある。
「CanSecWest 2008」というセキュリティ・コンフィレンスのPwn2Ownコンテストを気に留めていたなら、完全にパッチされたウィンドウズVistaを入れたノートパソコンが、ゼロデイAdobeフラッシュ・プレイヤーの脆弱性経由でハッキングされたという話を聞いたことがあるだろう。今回リリースされたフラッシュ・プレイヤーのアップデートは、そのセキュリティ脆弱性を修正している。このアップデートはその他にも前述の問題ほど深刻ではないが、攻撃者がクロスサイト・スクリプティング(XSS)やDNSリバインド攻撃などで悪用する脆弱性も修正している。
【対策】
Adobeは、こうしたセキュリティ問題を修正するフラッシュ・プレイヤーの新しいバージョンをリリースしている。フラッシュ・プレイヤーを使用しているオペレーティング・システムの種類にかかわらず、Adobeが提供している最新版のフラッシュ・プレイヤーをできる限り早急にダウンロードし、ネットワーク全体に導入することをすすめる。Adobeのウェブ・ページは、ユーザーが使用しているプラットフォームを自動的に感知し状況に適したフラッシュ・バージョンのダウンロードを示すようになっている。
注記:
インターネット・エクスプローラ(IE)を使ってダウンロード・リンクをクリックする場合、フラッシュのアップデートと同時にYahoo!ツールバーがディフォルトで表示される。フラッシュのセキュリティ問題を修正するためにYahoo!ツールバーは必要ないので、それを取り入れるオプションは無効にすることをすすめる。
Adobeのフラッシュ・プレイヤーは、他のAdobe(以前のMacromedia)製品にも搭載されている。この脆弱性の影響を受けている製品リスト及び最新のアップデート入手先については、Adobeがリリースしたアラートの「Details」欄を参照すること。
ウォッチガード・ユーザー:
ウォッチガードのFireboxシリーズの中には、ウェブ(HTTP)やメール(SMTP、POP3)経由で送られてくるショックウェーブ・フラッシュ・ファイル(.SWF)にユーザーがアクセスできないように設定できるものもある。Fireboxのプロキシー・サービス(手順は下記を参照)を使って「.SWF」ファイルをブロックし、一時的にこの脆弱性のリスクを緩和させることができる。しかし、インタラクティブなコンテンツを提供するためフラッシュに依存しているウェブサイトも多いため、フラッシュをブロックすることでサイトが正しく機能しなくなる場合もあるだろう。YouTubeやJibJabなど、人気のあるビデオ・ストリーミング・サイトはフラッシュ・フロントエンドを使ってビデオを流している。このため、フラッシュをブロックしてしまうと、数多くのそうしたビデオ・サイトを利用できなくなる。このためAdobeが提供しているフラッシュ・プレイヤーのアップデートをネットワークに導入することが主な対策となる。
バージョン8.5を使用しているFirebox X Edgeユーザー:
ショックウェーブ・フラッシュ・ファイルのHTTPリクエストをブロックしたい場合は『Outgoing Proxies』というタイトルの12分間ビデオ・チュートリアルで手順を確認することができる(チュートリアル・ページ下方でX Edge関連のビデオ閲覧が可能)。HTTPプロキシー設定の「Allow only safe content types(安全なコンテンツ・タイプのみ許可)」を有効にし、MIMEタイプの「application/x-shockwave-flash」をハイライトして「Remove(除去)」ボタンをクリックすること。
攻撃者がメールに悪性のSWFファイル添付し送信してくることを阻止するには、まず、POP3プロキシー設定から「Deny Unsafe Filename Patterns(安全ではないファイル名パターンを拒否)」に行き「Add(追加)」ボタンを使って「*.SWF」を追加しよう。この方法でウェブやメール経由でやってくるフラッシュ・ファイルを全てブロックすることが可能になる(Firebox SOHOや初期のEdge製品にはプロキシーがないため、この方法を使うことはできない。そのような製品を使用している場合は、Adobeフラッシュ・プレイヤーのアップデートをインストールすることをすすめる)。
Firebox III、X Core、X Peakユーザー:
ビジネス上、可能であればHTTPプロキシーやSMTPプロキシーを使って「.SWF」ファイルをブロックすることができる(そうすることで不正ファイルだけでなく正当なものもブロックすることになる点に注意)。ウォッチガード製品別の手順については、次のリンクを参照することをすすめる。
WFSを使用しているFirebox III及びX Core
SMTPプロキシー
HTTPプロキシー
オンライン・トレーニングのプロキシー・モジュール
Fireware Pro を使用しているFirebox X Core及びX Peak
SMTPプロキシー
HTTPプロキシー
【ステータス】
Adobeはこうした問題を修正するフラッシュ・プレイヤーのバージョン9.0.124.0をリリースしている。
【参考資料】
Adobeの日本語サイト
Adobeのフラッシュ・プレイヤーに関するアラート
Adobeのディベロッパーによる情報『Understanding Flash Player 9 April 2008 Security Update compatibility』
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。
危険度:高
日付:2008年4月9日
【概要】
・対象:
Adobeフラッシュ・プレイヤー9.0.115.0及びそれ以前のバージョン。
ウィンドウズ、OS X、Unix、Linuxにおける8.0.39.0及びそれ以前のバージョン。
・悪用法:
細工された悪性のフラッシュ(.SWF)ファイルをユーザーに再生させるなど、様々な攻撃方法がある。
・影響:
その影響は様々だが最悪の場合、攻撃者は被害者のコンピューターでコードを実行し、そのコンピューターをコントロールできるようになる。
・対策:
できる限り早急にフラッシュ・プレイヤー9.0.124.0を導入すること。
【詳細】
Adobeのフラッシュ・プレイヤーは「Flash(フラッシュ)」と呼ばれるインタラクティブな動画のウェブコンテンツを表示し、通常「Shockwave(ショックウェーブ)」(.SWF)ファイルとしてフォーマットされる。Adobeのフラッシュ・プレイヤーは、様々なウェブ・ブラウザーでディフォルトとして搭載されている。インターネット・エクスプローラ(IE)もその例だ。又、様々なオペレーティング・システムにおいても実行されている。
Adobeは米国時間の4月9日にリリースされたアラートで、バージョン9.0.115.0までさかのぼるフラッシュ・プレイヤーのバージョン全てにおいて影響を与えている複数のセキュリティ脆弱性について警告した。脆弱性のレベルが重大なものが多数ある。
Adobeは、このセキュリティ問題に関し詳細を説明していない。中でも悪質な脆弱性は「入力検証のエラー」と説明されている。「入力検証」とは、つまりこういうことだ。入力を受け入れるあらゆるスクリプトやプログラムは(ユーザーからの直接入力および他のプログラムによる入力)、その入力内容をチェックし、予期しているタイプであることを確かめるべきであるとされている。しかし、入力検証の欠陥でよく見られる例としては、予期した文字数を受け取った後もその入力をカットすることに失敗したり、その入力を許可するプログラムにおいて特別な意味合いを持つメタ文字を拒否することに失敗する場合などが挙げられる。
攻撃者がフラッシュ・プレイヤーの入力検証欠陥を悪用するには、悪性のショックウェーブ・フラッシュ・ファイル(.SWF)を作成し、ユーザーにそれをダウンロードさせ、再生させなければならない。その悪性のファイルはウェブサイトでホストされていたり、HTML形式のメールで送信されたり、フラッシュを埋め込んだアプリケーション経由で送られたりする。フラッシュによる入力検証が無効になっている場合にユーザーがそのファイルを再生すると、攻撃者はユーザーの権限を持った状態で、そのユーザーのコンピューターでコードを実行することができる。ウィンドウズ管理者は大抵の場合ユーザーにローカル管理者の権限を与えているため、攻撃者はこうした欠陥を悪用し、被害者のコンピューターを完全にコントロールできるようになる可能性がある。
「CanSecWest 2008」というセキュリティ・コンフィレンスのPwn2Ownコンテストを気に留めていたなら、完全にパッチされたウィンドウズVistaを入れたノートパソコンが、ゼロデイAdobeフラッシュ・プレイヤーの脆弱性経由でハッキングされたという話を聞いたことがあるだろう。今回リリースされたフラッシュ・プレイヤーのアップデートは、そのセキュリティ脆弱性を修正している。このアップデートはその他にも前述の問題ほど深刻ではないが、攻撃者がクロスサイト・スクリプティング(XSS)やDNSリバインド攻撃などで悪用する脆弱性も修正している。
【対策】
Adobeは、こうしたセキュリティ問題を修正するフラッシュ・プレイヤーの新しいバージョンをリリースしている。フラッシュ・プレイヤーを使用しているオペレーティング・システムの種類にかかわらず、Adobeが提供している最新版のフラッシュ・プレイヤーをできる限り早急にダウンロードし、ネットワーク全体に導入することをすすめる。Adobeのウェブ・ページは、ユーザーが使用しているプラットフォームを自動的に感知し状況に適したフラッシュ・バージョンのダウンロードを示すようになっている。
注記:
インターネット・エクスプローラ(IE)を使ってダウンロード・リンクをクリックする場合、フラッシュのアップデートと同時にYahoo!ツールバーがディフォルトで表示される。フラッシュのセキュリティ問題を修正するためにYahoo!ツールバーは必要ないので、それを取り入れるオプションは無効にすることをすすめる。
Adobeのフラッシュ・プレイヤーは、他のAdobe(以前のMacromedia)製品にも搭載されている。この脆弱性の影響を受けている製品リスト及び最新のアップデート入手先については、Adobeがリリースしたアラートの「Details」欄を参照すること。
ウォッチガード・ユーザー:
ウォッチガードのFireboxシリーズの中には、ウェブ(HTTP)やメール(SMTP、POP3)経由で送られてくるショックウェーブ・フラッシュ・ファイル(.SWF)にユーザーがアクセスできないように設定できるものもある。Fireboxのプロキシー・サービス(手順は下記を参照)を使って「.SWF」ファイルをブロックし、一時的にこの脆弱性のリスクを緩和させることができる。しかし、インタラクティブなコンテンツを提供するためフラッシュに依存しているウェブサイトも多いため、フラッシュをブロックすることでサイトが正しく機能しなくなる場合もあるだろう。YouTubeやJibJabなど、人気のあるビデオ・ストリーミング・サイトはフラッシュ・フロントエンドを使ってビデオを流している。このため、フラッシュをブロックしてしまうと、数多くのそうしたビデオ・サイトを利用できなくなる。このためAdobeが提供しているフラッシュ・プレイヤーのアップデートをネットワークに導入することが主な対策となる。
バージョン8.5を使用しているFirebox X Edgeユーザー:
ショックウェーブ・フラッシュ・ファイルのHTTPリクエストをブロックしたい場合は『Outgoing Proxies』というタイトルの12分間ビデオ・チュートリアルで手順を確認することができる(チュートリアル・ページ下方でX Edge関連のビデオ閲覧が可能)。HTTPプロキシー設定の「Allow only safe content types(安全なコンテンツ・タイプのみ許可)」を有効にし、MIMEタイプの「application/x-shockwave-flash」をハイライトして「Remove(除去)」ボタンをクリックすること。
攻撃者がメールに悪性のSWFファイル添付し送信してくることを阻止するには、まず、POP3プロキシー設定から「Deny Unsafe Filename Patterns(安全ではないファイル名パターンを拒否)」に行き「Add(追加)」ボタンを使って「*.SWF」を追加しよう。この方法でウェブやメール経由でやってくるフラッシュ・ファイルを全てブロックすることが可能になる(Firebox SOHOや初期のEdge製品にはプロキシーがないため、この方法を使うことはできない。そのような製品を使用している場合は、Adobeフラッシュ・プレイヤーのアップデートをインストールすることをすすめる)。
Firebox III、X Core、X Peakユーザー:
ビジネス上、可能であればHTTPプロキシーやSMTPプロキシーを使って「.SWF」ファイルをブロックすることができる(そうすることで不正ファイルだけでなく正当なものもブロックすることになる点に注意)。ウォッチガード製品別の手順については、次のリンクを参照することをすすめる。
WFSを使用しているFirebox III及びX Core
SMTPプロキシー
HTTPプロキシー
オンライン・トレーニングのプロキシー・モジュール
Fireware Pro を使用しているFirebox X Core及びX Peak
SMTPプロキシー
HTTPプロキシー
【ステータス】
Adobeはこうした問題を修正するフラッシュ・プレイヤーのバージョン9.0.124.0をリリースしている。
【参考資料】
Adobeの日本語サイト
Adobeのフラッシュ・プレイヤーに関するアラート
Adobeのディベロッパーによる情報『Understanding Flash Player 9 April 2008 Security Update compatibility』
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。