ニュース
» 2015年03月24日 07時43分 UPDATE

4年前のAdobeパッチに起因する問題発覚、ブラウザやFlashに影響

2011年のパッチで対処したはずのFlex SDKコンパイラの脆弱性が実は完全には修正されておらず、最新版のWebブラウザやFlashプラグインがこの脆弱性の影響を受けることが分かったという。大手サイトにも影響が及ぶ。

[鈴木聖子,ITmedia]
asw01.jpg 研究者が4年前の脆弱性に起因する問題を提起

 米Adobe Systemsが2011年のパッチで対処したはずのFlex SDKコンパイラの脆弱性が実は完全には修正されておらず、最新版のWebブラウザやFlashプラグインがこの脆弱性の影響を受けることが分かったという。セキュリティ研究者が3月19日に情報を公開して大手Webサイトなどに対応を促した。

 Minded SecurityとNibbleSecurityの研究者によると、この脆弱性はAdobe Flex SDK 3.x〜4.5.1でコンパイルされたSWFファイルにおいて、リソースモジュールのセキュリティドメインが適切に検証されない問題に起因する。

 脆弱性のあるSWFファイルをホスティングしていれば、最新のパッチを適用したWebブラウザやプラグインであっても、同一生成元ポリシーを間接的に回避され、攻撃者にユーザーのデータを盗まれたり、ユーザーになり代わって動作を実行されたりする恐れがあるという。

 研究者が調べた結果、Alexaの上位10サイトにランクされている3サイトを含め、膨大な数のWebサイトにこの脆弱性が存在することが分かったとしている。

 対策として、脆弱性のあるバージョンのAdobe Flex SDKでコンパイルされたFlex SWFファイルは、最新版のApache Flex SDKを使ってリコンパイルするか、Adobeの公式ツールを使ってパッチを適用する必要がある。既に使われていない場合は削除するよう勧告している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -