加工されたShockwaveファイルの影響を受けるAdobe Flashの危険性 2009年2月26日
加工されたShockwaveファイルの影響を受けるAdobe Flashの危険性
危険度:高
2009年2月26日
【概要】
対象:
WindowsやLinux対象のAdobe Flash, 10.0.xと旧バージョン
攻撃方法:
悪性のウェブサイトにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
最新版のAdobe Flash Playerをダウンロードしインストールすること
【詳細】
Adobe Flash Playerはインタラクティブな動画のウェブコンテンツ、Flashを表示することができる。このFlashには通常Shockwave (.SWF) ファイル形式が使われる。また、AdobeのFlash Playerは標準設定によりInternet Explorer(IE)など様々なウェブ・ブラウザに搭載されている他、様々なオペレーティング・システムでも利用することができる。
Adobeは米国時間の2月24日に公開したセキュリティ情報で、Windows対象のAdobe Flash 10.0.12.36とLinux対象の Adobe Flash 10.0.15.3に影響している深刻な脆弱性について警告した。Adobeのアップデートは5件の脆弱性を修正するものと見られる(数字はCVEによるもの)。セキュリティ情報では主に1件の欠陥についてのみ説明されているが、その詳細情報は記されていない。攻撃者は、細工したShockwave (SWF)を入れた悪質なウェブサイトにユーザを誘導することで未特定の脆弱性を悪用し、ユーザの特権を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。また、Windowsユーザがローカル管理者であった場合、攻撃者は欠陥を悪用し、そのユーザのPCを完全に操作できるようになる。
Adobeはこの欠陥の詳細情報を公開していないが、この問題を最初に発見したリサーチ・チーム、iDefenseはその詳細について説明を行っているので、この脆弱性の技術詳細について知りたい場合はiDefenseのアドバイザリを参照することをすすめる。ちなみに、これは先日のWatchGuard Wireで取り上げた問題と同じである。掲載時においてiDefenseのアドバイザリはAdobeのFlash情報ではなくReaderのセキュリティ情報を参照にしている。
【対策】
Adobeは新しいバージョンのFlash Player (10.0.22.87)をリリースしているので、ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデート版をダウンロードし導入することをすすめる。
Flash 9を使用していて10にアップグレードすることができない場合のために、Adobeはこの問題を修正できるFlash Player 9.0.159.0もリリースしている。ダウンロード先はこちらを参照。
ウォッチガード・ユーザ:
ウォッチガードのFirebox製品の中には、ユーザがウェブ (HTTP) やメール (SMTP/POP3)からShockwave Flashファイル(.SWF) をダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .SWFファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させる方法もある。
しかし、インタラクティブなコンテンツを提供するためにFlashに依存しているウェブサイトは多いため、Flashを阻止することでそうしたサイトが正常に機能しなくなる可能性もある。YouTubeやJibJabなど人気のビデオ・ストリーミング・サイトはFlashフロントエンドを使用しているため、こうした対策を講じると、そのようなサイトでビデオを表示できなくなる可能性もある。
Flashをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .SWF拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
Adobeは問題を修正するFlashアップデートをリリースしている。
【参考資料】
Adobeのセキュリティ情報 (英文)
iDefenseのアドバイザリ (英文)
Adobe日本語サイト
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。