Internet Watch logo
記事検索
最新ニュース

Flash Playerの「8.0.24.0」以前に深刻な脆弱性、最新版へアップデートを


 米Adobe Systemsは12日、「Flash Player」のバージョン「8.0.24.0」以前に、複数の脆弱性があることを公表した。悪意あるSWFファイルを読み込むとシステムを乗っ取られる恐れのある深刻なもので、すべてのプラットフォーム用のFlash Playerが影響を受けるという。Adobeでは、該当するバージョンを使用しているすべてのユーザーに対して、最新版の「9.0.16.0」にアップデートするよう求めている。

 Adobeによると、バージョン「8.0.24.0」以前において、任意のコードを実行される可能性がある複数の入力検証エラーが見つかった。Webブラウザやメールソフトをはじめ、Flash Playerを使用するアプリケーションなどにコンテンツを読み込ませることで、リモートから脆弱性を突くことができるという。

 このほか、最新バージョンでは“allowScriptAccess”オプションが回避されないように修正しているほか、Windows上でMicrosoft Office製品からFlash Player 7およびFlash Player 8のActiveXコントロールが呼び出された際の挙動も変更しているという。

 仏FrSIRTによると、“allowScriptAccess”オプションで発生するエラーが原因で、悪意あるWebサイトによってセキュリティ制限を回避され、クロスドメインスクリプティングを引き起こされる脆弱性があったという。また、Office製品からのActiveXコントロールの呼び出しについては、悪意あるOffice文書を開かせることで、ユーザーへの確認なく任意のFlashコードを実行することが可能だとしている。

 なお、Flash Playerの旧バージョンは、マイクロソフトがWindows XP SP1/SP2およびWindows XP Professional x64 Editionとともに再配布していた経緯もあり、今回の脆弱性についてはマイクロソフトもセキュリティアドバイザリを出し、注意を促している。


関連情報

URL
  Adobe Systemsのセキュリティアドバイザリ(英文)
  http://www.adobe.com/support/security/bulletins/apsb06-11.html
  FrSIRTのセキュリティアドバイザリ(英文)
  http://www.frsirt.com/english/advisories/2006/3573
  マイクロソフトのセキュリティアドバイザリ
  http://www.microsoft.com/japan/technet/security/advisory/925143.mspx

関連記事
Flash Player 8に危険度の高い脆弱性、最新版では修正済み〜Secunia報告(2006/07/11)
「Adobe Flash Player 9」リリース、パフォーマンスを大幅向上(2006/06/28)
マイクロソフトの月例パッチ、Flash旧バージョンの脆弱性などを修正(2006/05/10)


( 永沢 茂 )
2006/09/13 14:45

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.