Adobe、Flash Playerの更新版公開 JSONP関連の深刻な脆弱性が発覚

Flash Player更新版ではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。

» 2014年07月09日 07時37分 公開
[鈴木聖子,ITmedia]

 米Adobe Systemsは7月8日、Adobe Flash Playerの深刻な脆弱性に対処する更新版を公開した。

 同社のセキュリティ情報によると、今回のアップデートではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。悪用された場合、システムを制御される恐れがあり、ユーザーに対して最新版に更新するよう呼び掛けている。

 脆弱性は、Flash Player最新版の14.0.0.145(WindowsとMac向け)、11.2.202.394(Linux向け)でそれぞれ修正された。最新版に更新できないユーザーのために13.0.0.231(WindowsとMac向け)もリリースしている。

 Google ChromeとMicrosoftのInternet Explorer(IE)10(Windows 8.0向け)/IE 11(Windows 8.1向け)に組み込まれているFlash Playerは、自動的に14.0.0.145に更新される。Adobe AIR/Adobe AIR SDKは14.0.0.137に更新された。

 JSONP関連の脆弱性については、発見者であるGoogleの情報セキュリティエンジニアが同日、自身のブログで詳しい情報とコンセプト実証ツールを公開した。同ツールでは脆弱性のあるJSONPエンドポイントに対してクロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けて同一生成元ポリシーをかわし、センシティブな情報を引き出すことが可能だという。

 ブログによると、この脆弱性はFlash PlayerのほかGoogle傘下のドメインやYouTube、Twitter、Instagram、Tumblr、Olark、eBayなどのWebサイトにも存在していた。GoogleとYouTube、Twitterでは8日までに修正を済ませたとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ