Shockwave Playerに見られる8つの深刻な脆弱性 2010年1月21日
Shockwave Playerに見られる8つの深刻な脆弱性
危険度:高
2010年1月21日
【概要】
【詳細】
Adobe Shockwave Playerは、インタラクティブな動画のウェブコンテンツShockwave (SWF)ファイルを表示することができる。AdobeによるとShockwave PlayerをインストールしているPCの数は4億5000万台だという。 Adobeは、米国時間の1月19日に公開したセキュリティアドバイザリで、WindowsおよびMacintosh対象の Adobe Shockwave Player 11.5.2.602に影響している8つの深刻な脆弱性について警告した(旧バージョンも含む)。Adobeの情報はCVEの2つの数字に触れるだけなので、説明は2つの欠陥のみかと思わせるが、CVE参照事項の1つの中で、7つの異なる整数のオーバーフロー脆弱性について説明している。 しかし、欠陥の技術詳細についてはAdobeのセキュリティアドバイザリで詳しく説明されていないのだが、その影響についてはしっかり説明している。攻撃者は細工したShockwave (SWF)を含む悪質なウェブサイトにユーザを誘導することで任意に脆弱性を悪用し、ユーザの特権を獲得した状態で、そのユーザのコンピュータでコードを実行できるようになるという。また、Windowsユーザがローカル管理者であった場合、攻撃者は欠陥を悪用し、そのユーザのPCを完全に操作できるようになる。
こうした脆弱性全8件を発見したSecunia Researchチームは、Secunia advisoryでその他の詳細について説明しているので関心があればそちらを参照することをすすめる。 ネットワーク全体でAdobe Shockwaveを使用している場合は、最新バージョンをできる限り早急にダウンロードしインストールすることをすすめる。
【対策】
Adobe はShockwave Playerの新しいバージョン(11.5.6.606) をリリースしているので、ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデートをダウンロードし導入することをすすめる。
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブ (HTTP) やメール (SMTP/POP3)からShockwave Flashファイル(.SWF) をダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .SWFファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。
しかし、インタラクティブなコンテンツを提供するためにFlashに依存しているウェブサイトは多いため、Flashを阻止することでそうしたサイトが正常に機能しなくなる可能性もある。YouTubeやJibJabなど、人気のビデオ・ストリーミング・サイトはFlashフロントエンドを使用しているため、こうした対策を講じると、そのようなサイトでビデオを表示できなくなる可能性もある。
Flashをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .SWF拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
Adobe はこうした脆弱性を修正するShockwave Playerのアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2010年1月21日
【概要】
- 対象:
Windows やMacintoshで使用しているAdobe Shockwave Player 11.5.2.602
およびそれ以前のバージョン
- 攻撃方法:
悪質なFlashファイルがあるウェブサイトにユーザを誘導する
- 影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
最新版のAdobe Shockwave Playerをできる限り早急にダウンロードしインストールすること
【詳細】
Adobe Shockwave Playerは、インタラクティブな動画のウェブコンテンツShockwave (SWF)ファイルを表示することができる。AdobeによるとShockwave PlayerをインストールしているPCの数は4億5000万台だという。 Adobeは、米国時間の1月19日に公開したセキュリティアドバイザリで、WindowsおよびMacintosh対象の Adobe Shockwave Player 11.5.2.602に影響している8つの深刻な脆弱性について警告した(旧バージョンも含む)。Adobeの情報はCVEの2つの数字に触れるだけなので、説明は2つの欠陥のみかと思わせるが、CVE参照事項の1つの中で、7つの異なる整数のオーバーフロー脆弱性について説明している。 しかし、欠陥の技術詳細についてはAdobeのセキュリティアドバイザリで詳しく説明されていないのだが、その影響についてはしっかり説明している。攻撃者は細工したShockwave (SWF)を含む悪質なウェブサイトにユーザを誘導することで任意に脆弱性を悪用し、ユーザの特権を獲得した状態で、そのユーザのコンピュータでコードを実行できるようになるという。また、Windowsユーザがローカル管理者であった場合、攻撃者は欠陥を悪用し、そのユーザのPCを完全に操作できるようになる。
こうした脆弱性全8件を発見したSecunia Researchチームは、Secunia advisoryでその他の詳細について説明しているので関心があればそちらを参照することをすすめる。 ネットワーク全体でAdobe Shockwaveを使用している場合は、最新バージョンをできる限り早急にダウンロードしインストールすることをすすめる。
【対策】
Adobe はShockwave Playerの新しいバージョン(11.5.6.606) をリリースしているので、ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデートをダウンロードし導入することをすすめる。
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブ (HTTP) やメール (SMTP/POP3)からShockwave Flashファイル(.SWF) をダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .SWFファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。
しかし、インタラクティブなコンテンツを提供するためにFlashに依存しているウェブサイトは多いため、Flashを阻止することでそうしたサイトが正常に機能しなくなる可能性もある。YouTubeやJibJabなど、人気のビデオ・ストリーミング・サイトはFlashフロントエンドを使用しているため、こうした対策を講じると、そのようなサイトでビデオを表示できなくなる可能性もある。
Flashをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .SWF拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
Adobe はこうした脆弱性を修正するShockwave Playerのアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。