Adobe Shockwave Playerのセキュリティ問題 2009年11月5日
Adobe Shockwave Playerのセキュリティ問題(5)
危険度:高
2009年11月5日
【概要】
【詳細】
Adobe Shockwave Playerはインタラクティブな動画のウェブコンテンツ、Shockwave (.SWF)ファイルを表示することができる。AdobeによるとShockwave PlayerをインストールしているPCの数は4億5000万台だという。 Adobeは米国時間の11月3日に公開したセキュリティ情報で、WindowsおよびMacintosh対象の Adobe Shockwave Player 11.5.1.601に影響している深刻な脆弱性について警告した(旧バージョンも含む)。Adobeのアップデートは5件の脆弱性を修正するものと見られる(数字はCVEによる)。しかし、その欠陥の技術詳細についてはAdobeのセキュリティ情報で詳しく説明されていない。しかし、細工したShockwave (SWF)を含む悪質なウェブサイトにユーザを誘導することで、攻撃者はこの未特定の脆弱性を悪用しユーザの特権を獲得した状態で、そのユーザのコンピュータでコードを実行できるようになると警告している。また、Windowsユーザにローカル管理者の特権があった場合、攻撃者はこの欠陥を悪用してユーザのPCを完全に操作できるようになる。 ネットワーク全体でAdobe Shockwaveを使用している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。
【対策】
Adobe はShockwave Playerの新しいバージョン(11.5.2.602) をリリースしている。ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデートをダウンロードし導入することをすすめる。
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブ (HTTP) やメール (SMTP/POP3)からShockwave Flashファイル(.SWF) をダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .SWFファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。
しかし、インタラクティブなコンテンツを提供するためにFlashに依存しているウェブサイトは多いため、Flashを阻止することでそうしたサイトが正常に機能しなくなる可能性もある。YouTubeやJibJabなど、人気のビデオ・ストリーミング・サイトはFlashフロントエンドを使用しているため、こうした対策を講じると、そのようなサイトでビデオを表示できなくなる可能性もある。
Flashをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .SWF拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
Adobe はこうした脆弱性を修正するShockwave Playerのアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年11月5日
【概要】
- 対象:
Windows やMacintoshで使用しているAdobe Shockwave Player 11.5.1.601およびそれ以前のバージョン
- 攻撃方法:
悪質なFlashファイルがあるウェブサイトにユーザを誘導する
- 影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
最新版のAdobe Shockwave Playerをダウンロードしインストールすること
【詳細】
Adobe Shockwave Playerはインタラクティブな動画のウェブコンテンツ、Shockwave (.SWF)ファイルを表示することができる。AdobeによるとShockwave PlayerをインストールしているPCの数は4億5000万台だという。 Adobeは米国時間の11月3日に公開したセキュリティ情報で、WindowsおよびMacintosh対象の Adobe Shockwave Player 11.5.1.601に影響している深刻な脆弱性について警告した(旧バージョンも含む)。Adobeのアップデートは5件の脆弱性を修正するものと見られる(数字はCVEによる)。しかし、その欠陥の技術詳細についてはAdobeのセキュリティ情報で詳しく説明されていない。しかし、細工したShockwave (SWF)を含む悪質なウェブサイトにユーザを誘導することで、攻撃者はこの未特定の脆弱性を悪用しユーザの特権を獲得した状態で、そのユーザのコンピュータでコードを実行できるようになると警告している。また、Windowsユーザにローカル管理者の特権があった場合、攻撃者はこの欠陥を悪用してユーザのPCを完全に操作できるようになる。 ネットワーク全体でAdobe Shockwaveを使用している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。
【対策】
Adobe はShockwave Playerの新しいバージョン(11.5.2.602) をリリースしている。ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデートをダウンロードし導入することをすすめる。
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブ (HTTP) やメール (SMTP/POP3)からShockwave Flashファイル(.SWF) をダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .SWFファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。
しかし、インタラクティブなコンテンツを提供するためにFlashに依存しているウェブサイトは多いため、Flashを阻止することでそうしたサイトが正常に機能しなくなる可能性もある。YouTubeやJibJabなど、人気のビデオ・ストリーミング・サイトはFlashフロントエンドを使用しているため、こうした対策を講じると、そのようなサイトでビデオを表示できなくなる可能性もある。
Flashをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .SWF拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
Adobe はこうした脆弱性を修正するShockwave Playerのアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。