ニュース

Shockwave Playerに旧Flashランタイムが同梱、遠隔操作の恐れ

 情報処理推進機構(IPA)セキュリティセンターと、JPCERTコーディネーションセンター(JPCERT/CC)は19日、Adobe SystemsのShockwave Playerに遠隔操作で攻撃を受ける恐れのある脆弱性が存在することを公表した。影響を受けるのはWindowsおよびMacintosh版Shockwave Player 11.6.8.638以前。

 脆弱性は、Shockwave PlayerのFullインストーラに旧バージョンのFlashランタイムが同梱されているというもの。Shockwave Playerは、別途システムにインストールされた Flashランタイムではなく、FullインストーラでインストールされたFlashランタイムを優先して使用する。これにより、細工されたShockwaveコンテンツを閲覧すると、遠隔の第三者によって既知の脆弱性を使用したさまざまな攻撃を受ける可能性がある。

 19日時点では対策方法はないという。ただし、Shockwaveコンテンツへのアクセスを制限すること、Shockwave PlayerのActiveXコントロールを無効にすること、Enhanced Mitigation Experience Toolkit (EMET) を適用すること、Data Execution Prevention (DEP) を有効にすることで、脆弱性の影響を軽減できるとしている。

 IPAとJPCERT/CCはさらに、Shockwave 11向けであることを明示していないShockwaveコンテンツを閲覧した場合、古いバージョンのShockwaveランタイムがユーザーに断りなく自動的にインストールされる脆弱性も報告している。

 また、 Shockwaveコンテンツを閲覧する際に、必要なXtra(プラグインモジュール)の脆弱性も指摘。このとき、XtraにAdobeもしくはMacromediaの正しい署名が確認できた場合、ユーザーに断りなく自動的にXtra がインストールされる恐れがある。必要なXtraはShockwaveコンテンツ自身が指定できるため、既知の脆弱性を持つ、古いバージョンの Xtraをインストールさせることが可能だとしている。

(増田 覚)