Copyright © 2008 Adobe Systems Incorporated. All Rights Reserved*.
当Webサイトをご利用のお客様は、利用規約*にご同意いただいたものとみなされます。
Search powered by Powered by Google
* 英文のみ
リリース日:2008年4月8日
脆弱性識別番号:APSB08-11
CVE番号: CVE-2007-5275, CVE-2007-6243, CVE-2007-6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654
プラットフォーム:全プラットフォーム
Adobe Flash Playerにクリティカルな脆弱性が発見されました。攻撃者がこの潜在的な脆弱性を悪用することに成功した場合、当該システムが攻撃者によって制御される恐れがあります。 この脆弱性は、エンドユーザが作為的なSWFファイルをFlash Playerに読み込ませることによって、攻撃者に悪用される恐れがあります。 Flash Playerをご利用のお客様には、ご利用のオペレーティングシステム用として提供されている、最新バージョンのFlash Playerへのアップデートを推奨します。
今回のセキュリティ強化および変更に伴って、既存のFlashコンテンツに影響がおよぶ可能性があります。コンテンツデベロッパーの皆様には、2008年3月付けのこちらのAdobeデベロッパーセンター記事を参照して、今回の変更点による既存コンテンツへの影響の有無を確認し、シームレスな移行を実現できるよう直ちに変更の適用を開始することをお勧めします。
Adobe Flash Player 9.0.115.0以前および8.0.39.0以前
Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe(またはMacromedia)Flash Playerについて」を選択します。複数のブラウザをご利用の場合は、ご利用のシステム上にインストールされているすべてのブラウザにおいて、この確認作業を行うことをお勧めします。
アドビ システムズ社では、Adobe Flash Player 9.0.115.0以前をご利用のすべてのユーザに対して、Playerダウンロードセンターから最新バージョンの9.0.124.0をダウンロードしてアップグレードを行うことを推奨します。またアップグレードは、製品内の自動更新画面を利用しても行えます。
アドビ システムズ社では、この問題をクリティカルな案件と分類し、対象ユーザの皆様がFlash Playerをバージョン9.0.124.0にアップデートすることを推奨します。
Flash Player 9.0.115.0および下位バージョンで、複数の入力認証エラーが確認されました。この問題により任意のコードが実行される可能性があります。これらの脆弱性は、ユーザのWebブラウザ、電子メールクライアントまたはFlash Playerを内蔵・参照する他のアプリケーションを経由して遠隔地から配布された、悪質なコンテンツを介して悪用される可能性があります。(CVE-2007- 0071, CVE-2007- 6019)
注: CVE-2007-0071として識別されている脆弱性が、リモートで悪用されているという報告があります。
本アップデートには、攻撃者がDNS再バインディング攻撃を仕掛ける際に悪用されかねない脆弱点を緩和するための機能が収録されています。この問題について詳しくは、こちらのAdobeデベロッパーセンター記事を参照してください。(CVE-2007-5275, CVE-2008-1655)
本アップデートには、Flash Playerがクロスドメインポリシーファイルの解読時に利用する、より保守的な方法の最新基準が収録されています。この変更は、Flashコンテンツとクロスドメインポリシーファイルが配置されたWebサーバへの権限昇格攻撃の防止に役立ちます。 この問題について詳しくは、こちらのAdobeデベロッパーセンター記事を参照してください。 (CVE-2007-6243)
本アップデートには、SWFが他のドメインにHTTPヘッダを送信することを許可する前に、クロスドメインポリシーファイルの確認を行うようにするための新しいセキュリティ機能が含まれています。 他のドメインのコンテンツから送られた悪質なHTTPヘッダから身を守ることで、Webサイトのセキュリティ向上に貢献します。詳細については、こちらのテクニカルノート*を参照してください。(CVE-2008-1654)
本アップデートでは、バージョン7以前のすべてのSWFにおいて、所定のパラメータが指定されていない場合に適用されるallowScriptAccessのデフォルト設定が「always」から「sameDomain」に更新されます。この変更により、旧式のSWFの動作も現在のセキュリティモデルに適合するようになり、デフォルトでさらなるセキュリティ強化が提供されるようになります。また、SWFでコンテンツ制作者の意図せぬスクリプト実行アクションが行われることを防止するために、ブラウザとのインタラクションを行うよう設計されていないAPIにおいては、「javascript:」URLが許可されなくなります。 なお、ブラウザとのインタラクションが意図されているgetURL()およびnavigateToURL() APIは、これまで通り「javascript:」URLを容認します。これらの変更点は、当初セキュリティ情報APSA07-06に記載された問題点を緩和するためのものです。(CVE-2007-6637)
今回のセキュリティ強化および変更に伴って、既存のFlashコンテンツに影響がおよぶ可能性があります。ユーザの皆様には、2008年3月付けのこちらのAdobeデベロッパーセンター記事を参照して、今回の変更点による既存コンテンツへの影響の有無を確認し、シームレスな移行を実現できるよう直ちに変更の適用を開始することをお勧めします。
次に挙げる状況にあてはまるユーザは、こちらの記事を参照して、詳細を確認するようにしてください。
– SWFの接続先ドメインがどこであるかにかかわらず、ソケットまたはXMLSocketsを使用している。
– データをドメイン間で送信または読み込む際に、ネットワークAPIコール内でaddRequestHeaderまたはURLRequest.requestHeadersを使用している。または、リモートドメインのコンテンツに対して、Webサービスプロバイダとしてアクセスを提供している。
– Flash Player 7 (SWF7) 以前向けとして書き出され、(その手段を問わず)ホスティングHTMLと通信するよう設定されたSWFを使用している。
– SWF以外との通信のために、ネットワークAPIを介して「javascript:」を使用している。
| 対象製品 | 推奨されるPlayerアップデート | 提供状況 |
|---|---|---|
| Flash Player 9.0.115.0以前 | 9.0.124.0 | Playerダウンロードセンター |
| Flash Player 9.0.115.0以前-ネットワーク配布 | 9.0.124.0 | Playerライセンシング* |
| Flash CS3 Professional | 9.0.124.0 | Flash CS3 Professional用Flash Player 9アップデート* |
| Flash Professional 8、Flash Basic | 8.0.42.0 | Flash Professional 8、Flash Basic用Flash Player 8アップデート* |
| Flex 3.0 | 9.0.124.0 | Flash Debug Playerアップデータ* |
| AIR 1.0 | 1.0.1 | AIRダウンロードセンター* |
入力認証エラーを指摘し、顧客のセキュリティ保護に協力してくださったSecunia Research*のAlin Rad Pop氏、ならびにTippingPoint's Zero Day Initiative*を通じて報告をお寄せいただいたJavier Vicente Vallejo氏およびShane Macaulay氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-6019)
入力認証エラーを指摘し、顧客のセキュリティ保護に協力してくださったISS X-Force*のMark Dowd氏、ならびにTippingPoint's Zero Day Initiative*を通じて報告をお寄せいただいたteam509*のwushi氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-0071)
DNS再バインディング問題を指摘し、顧客のセキュリティ保護に協力してくださったスタンフォード大学*のDan Boneh氏、Adam Barth氏、Andrew Bortz氏、Collin Jackson氏、Weidong Shao氏に対し、アドビより厚く御礼を申し上げます。(CVE-2007-5275)
DNS再バインディング問題を指摘し、顧客のセキュリティ保護に協力してくださったErnst and Young's Advanced Security Center*のNathan McFeters氏、Rob Carter氏に対し、アドビより厚く御礼を申し上げます。(CVE-2008-1655)
HTTPヘッダの問題を指摘し、顧客のセキュリティ保護に協力してくださったMicrosoft*のTom Gallagher氏に対し、アドビより厚く御礼を申し上げます。(CVE-2008-1654)
クロスドメインポリシーファイルの問題を指摘し、ユーザのセキュリティ保護に協力してくださった、株式会社 ユービーセキュアの杉山俊春氏と、JPCERT/CCに対し、アドビより厚く御礼を申し上げます。(CVE-2007-6243)
SWFのクロスサイトスクリプティング脆弱性を指摘し、ユーザのセキュリティ保護に協力してくださったGoogleセキュリティチーム*のRich Cannings氏およびMinded Security*のStefano Di Paola氏に対し、アドビより厚く御礼を申し上げます。(CVE-2007-6637)
2008年5月30日 – 詳細の節にCVE-2007-0071がリモートで悪用されているとの報告に関する情報を追加
2008年4月17日 – 詳細の節にFlash CS3 Professional、Flash Professional 8およびFlash Basicに関する情報を追加
2008年4月8日 – セキュリティ速報初版作成
Copyright © 2008 Adobe Systems Incorporated. All Rights Reserved*.
当Webサイトをご利用のお客様は、利用規約*にご同意いただいたものとみなされます。
Search powered by Powered by Google
* 英文のみ