Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

Flash Playerに脆弱性〜バージョン確認とアップデートを


Flash Playerのバージョン確認、アップデートを

 ニュースでも既報の通り、MacromediaのFlash Playerの脆弱性が報告されている。これは、Flash Player 7.0.19.0 およびそれ以前のバージョンの存在するもので、悪意のあるSWFファイル(Flash形式のデータファイル)を表示させることで、任意の悪意のコードを読み込んだマシン上で実行できる可能性がある、というものだ。

 つまり、Flashファイルをブラウザで表示させるだけで(ということはあるページを開いただけで)、ウイルスやトロイの木馬といった悪意のコードを実行させることが可能となりうる。

 現在Flash Playerの最新バージョンは8で、比較的多くのユーザーがこのバージョンを使っていると考えられる。従って、この脆弱性自体はそれほど多くのユーザーには影響しないと考えられるが、念のためにPCで使っているFlashのバージョンを確認しておいたほうがいいだろう。この脆弱性はブラウザには依存せず、Internet Explorer(IE)のほか、FirefoxやOperaでも影響を受けるので、IE以外のブラウザを利用しているユーザーもバージョンアップが必要になる。

 ブラウザで利用しているFlash Playerのバージョンの確認方法は簡単だ。Macromediaが用意したFlash Playerのバージョンテストのページにアクセスすると、ページのFlashムービー部分に現在利用しているバージョンが表示される。

 また、Flashを使っているページを表示して確認する方法もあり、こちらも簡単だ。たとえば、Game Watchのトップページには現在Flash広告が掲載されているのでここにアクセスしてみよう。Flashムービーの上で、マウスで右クリックすると、右クリックメニューの一番下に「Macromedia Flash Player8について」と表示されていれば、利用しているPlayerのバージョンは8だ。

 7以前のバージョンであることがわかったら、MacromediaのFlashPlayerダウンロードセンターで8を最新版をインストールするといいだろう。


Flash Playerのバージョンテストのページ。アクセスすると、画面左側にFlash Playerのバージョンが赤字で表示される WebブラウザでFlashムービーを表示している場合、Flash Playerの右クリックメニューで「Macromedia Flash Player8について」と表示されていれば、Flash Player8がインストールされている

脆弱性の内容

 このFlash PlayerはマイクロソフトからOS添付の形で再配布されている関係から、マイクロソフトのセキュリティアドバイザリからもユーザーに警告がされている。が、英語版のサイトにはあるものの、Macromediaの日本語版サイトのセキュリティ速報には11月15日現在、この脆弱性に関する情報が掲載されていないようだ。

 一応、現在までにわかっている脆弱性の内容をここでまとめておきたい。この脆弱性は、マクロメディアの英語版Security Bulletinsでは、「MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability」のタイトルで11月4日に掲載された。

 マイクロソフトのセキュリティアドバイザリでは、(910550)の番号で11月10日に掲載された。「Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性」というタイトルになっている。

 この脆弱性は米eEye Digital Securityと米Sec Consultによって報告された。原因はほぼ同一の同じ症状が、2つの箇所で起きたもののようだ。

 Sec Consultの公開しているセキュリティ情報によれば、Flash Playerが、ActionsScriptのActionDefineFunctionで渡される引数の内容を確認しないために引き起こされる問題だという。この関数で、本来想定しないメモリのアクセスが可能となるため、Flash Playerが管理しているコード実行用に管理しているテーブルへの不正書き込みが可能となり、その結果、不正なコードが利用可能になるとしている。

 ちなみに、ActionDefineFunction(Flash7以降ではActionDefineFunction2)は、Flashの変数の一部をレジスタ変数として割り当てることができる関数で、Flashの実行を高速化したい場合などによく使われている。

 また、eEye Digital Securityの公開しているセキュリティ情報は、ほぼSec Consultによる解説と内容的にはかぶるのだが、以下のように解説している。

 ある関数が、SWFファイルを再生するOLEコントロールFlash.ocxにあるが、この関数はスタック上に256要素のベクタテーブルを管理している。このテーブルの内容は、SWFファイルから読み込まれるが、その際に、配列の境界を確認していないために、ヒープメモリ上に攻撃用のコードを定数などとして読み込んでおき、そこにジャンプさせることが可能になる、ということだ。

 なお、前述のSec Consultでは、eEye Digital Securityの公開しているFlashの脆弱性情報とは、原理的には似ているが、別の関数での現象であるとしている(実は筆者も、「256のテーブルを管理する」と解説されているので、当初、256のレジスタ関数を管理できるようになったActionDefineFunction2のことと錯覚したのだが……)。

 いずれにしても、両方のセキュリティ情報を参照すれば、攻撃の原理に関してはFlashとアセンブラの知識があれば理解可能だろう。また概略ではあるが、Sec Consultのページに不正なSWFファイルに含まれるコードの内容も示されているので、Flash Player 7.0.19.0以前のFlash Playerに対して攻撃コードを作るのはそう難しくないことになる。

 Flash Player 7以前のバージョンを使っているユーザーは、できるだけ早くアップグレードすることをお勧めする。


Windows、Office以外でもセキュリティ確認を

 WindowsやIE、それにOfficeなどのセキュリティホールが見つかると、アップデートを呼びかける記事がよく掲載される。INTERNET Watchでも、月例のマイクロソフトのセキュリティ更新や緊急パッチがリリースされた際には、特別企画などで内容の確認と更新を呼びかけている。これは、マイクロソフト製品、特にWindowsとIEは多くのPCユーザーにとって必須のツールとなっており、悪意の利用をされると広範に影響が出るためだ。

 しかし、このように非常に広く使われている製品はマイクロソフト製品だけに限らない。今回のFlashなどもその1つで、Macromediaによれば、世界のインターネットが利用できるデスクトップでのFlash Playerの普及率は実に97%を超えるとしている。

 Windowsプラットフォームにおいては、やはりWindowsそのもの、それにInternet Explorer(IEはWindowsのUIのさまざまな部分に使われており、不可分の存在と言っていい)の脆弱性はもちろん警戒すべきだろうが、このような普及しているサードパーティソフト、たとえば、Flash PlayerやAcrobat Readerについても警戒が必要だろう。

 今回は、古いバージョンについての脆弱性だったため影響範囲も少なかったが、もし、最新のバージョンも含めて表示させるだけで悪意のコードを実行できるような脆弱性であれば、悪意のFlashムービーがWeb上に公開されたような場合、影響が大きいことが危惧される。

 とくにFlashの場合、Webを開いただけで悪意のコードを走らせることができるというのは、悪意のコードを広めたい場合には非常に魅力的な手段だと考えられる。マイクロソフトのOSやブラウザ、Office以外のソフトでも広く利用されているものについては、できるだけバージョンの自動チェックやアップデートを設定し、まめなアップデートを心がけるようにしたい。


URL
  Macromedia FlashPlayerバージョンテストのページ
  http://www.macromedia.com/jp/support/flashplayer/ts/documents/tn_15507.htm
  Macromedia Flash Player ダウンロードセンター
  http://www.macromedia.com/jp/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash
  マイクロソフト セキュリティ アドバイザリ:FlashPlayer 7の不適切なメモリアクセスの脆弱性
  http://www.microsoft.com/japan/technet/security/advisory/910550.mspx
  Macromedia Security Bulletin:Flash Player 7 Improper Memory Access Vulnerability(英文)
  http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html
  eEye Digital Security(英文)
  http://www.eeye.com/
  Sec Consult(英文)
  http://www.sec-consult.com/

関連記事
Flash Playerの脆弱性、マイクロソフトも修正バージョン適用を呼び掛け(2005/11/11)
Flash Playerに深刻な脆弱性、外部から任意のコードが実行される恐れ(2005/11/07)


( 大和 哲 )
2005/11/15 19:21

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.