Adobe ShockwaveにバンドルのFlash、多数の脆弱性が放置状態に

現行バージョンのShockwaveに組み込まれているのは、2013年1月にリリースされた古いバージョンのFlash 11.5.502.146だった。

[鈴木聖子，ITmedia]

　米Adobe SystemsのShockwave Playerに組み込まれているFlashが古いバージョンのまま更新されず、多数の脆弱性が放置された状態になっていることが分かった。米カーネギーメロン大学のCERTが脆弱性情報を更新して注意を呼び掛けている。

　CERTによると、この問題はWindowsとMac向けの「Shockwave Player 12.1.1.151」までのバージョンに存在する。Shockwaveに組み込まれているのは、2013年1月にリリースされた古いバージョンの「Flash 11.5.502.146」だったことが判明。Shockwaveは独自のFlashランタイムを採用していて、AdobeがFlash Playerの更新版を公開しても、ShockwaveのFlashランタイムは更新されないままになっているという。

　CERTは当初、2012年12月に公開した脆弱性情報でこの問題を指摘していたが、その後も問題は解決されず、2014年5月15日に内容を更新した。

　Flash Playerは、5月13日にバージョン13.0.0.214が公開されている。2013年1月以降にリリースされたセキュリティアップデートは約20件に上り、攻撃が発生している危険な脆弱性が何件も含まれる。

　セキュリティ情報サイトの「Krebs on Security」は、CERTの情報を執筆したセキュリティ専門家ウィル・ドーマン氏の話として、ShockwaveにはMicrosoft Windowsに組み込まれた悪用防止技術が有効になっていないモジュールが多数あり、Flashの脆弱性を直接悪用するよりも、Shockwaveを経由した方が攻撃が容易だと指摘している。

　Adobeの広報はCERTに指摘された問題を認めたうえで、Shockwave Playerの次のバージョンにはFlash Playerの更新版を組み込むと表明したとKrebs on Securityは伝えている。