Shockwave Playerに脆弱性、米機関が3件のアドバイザリー公開

脆弱性はいずれも、細工を施したShockwaveコンテンツを閲覧させるなどの方法で、任意のコード実行に利用される恐れがある。Adobeのパッチは現時点で公開されていない。

[鈴木聖子，ITmedia]

　米Adobe SystemsのShockwave Playerに任意のコード実行に利用される恐れのある脆弱性が報告されたとして、米セキュリティ機関のUS-CERTが12月17日付で3件のアドバイザリーを公開した。

　このうち機能拡張モジュール「Xtra」の利用に起因する脆弱性では、攻撃者が脆弱性のあるXtraをダウンロードさせてShockwaveムービーを再生させることにより、脆弱性を悪用できてしまう恐れがあるという。

　また、WindowsとMac向けShockwave Player最新版の11.6.8.638に、脆弱性のあるバージョンのFlashランタイムが組み込まれている問題も指摘された。11.6.8.638の「Full」版のインストーラーに組み込まれたFlashは、2011年4月15日にリリースされた古いバージョンの10.2.159.1で、複数の脆弱性が存在している。Shockwaveはシステム全体にインストールされたFlashではなく、自前のFlashランタイムを使う仕組みになっているという。

　さらに、設計上の問題により、Shockwaveがレガシーバージョンのランタイムを自動的にインストールしてしまい、攻撃面を拡大させる恐れがあることも分かった。

　US-CERTによればこれら脆弱性は、いずれも細工を施したShockwaveコンテンツを閲覧させるなどの方法で、任意のコード実行に利用される恐れがある。問題を解決するAdobeのパッチは現時点で公開されていない。アドバイザリーでは回避策として、信頼できないDirectorコンテンツの処理制限などを挙げている。