Adobe 社は 2 月に、Shockwave アプリケーションに存在する危険なホールを塞ぐ予定です。このホールにより、ユーザーが古いマルチメディア コンテンツを起動するとアプリケーションがダウングレードされ、ハッカーが何年も前の脆弱性を狙うことが可能となります。
米国のコンピュータ緊急事態対策チーム(US CERT)は、攻撃者がマルウェアを配信したり任意のコードを実行したりできる可能性がある、最も危険な種類の欠陥の1つと考えられるこの脆弱性に関する勧告を発表した。
US CERT は 2010 年 10 月 27 日に Adobe にこの問題を通知したが、Adobe の広報担当者は水曜日、この問題は 2 月 12 日に予定されている Shockwave の次のメジャー アップグレードで解決される予定であると述べた。
「この特定の手法を用いた悪用や攻撃が実際に行われているという報告は今のところありません」と、アドビのコーポレートコミュニケーション担当シニアマネージャー、ウィーブケ・リップス氏は述べています。アドビは、この問題がユーザーにとって大きなリスクになるとは考えていません。
Shockwave は、Flash などのインタラクティブ コンテンツを作成するための高度なツールを提供する Macromedia および Adobe Director で作成されたコンテンツを再生するために使用されます。
US CERTはAdobeのドキュメントを引用し、ユーザーが最新のShockwaveバージョン11の使用を指定していないコンテンツに遭遇した場合、古いActiveXコントロールがダウンロードされ、古いShockwave 10プレーヤーのコンポーネントが取り込まれると説明しました。US CERTによると、ShockwaveはMicrosoftのInternet Explorer内でコンテンツが要求された際にActiveXコントロールを使用し、他のブラウザではプラグインとして存在します。
フラッシュの欠陥が指摘される
Shockwave 10ランタイムには脆弱性があり、アプリケーションのコンテンツコンポーネントである「Xtras」にも脆弱性が存在します。また、Shockwaveを旧バージョンにダウングレードすると、AdobeのFlashマルチメディアアプリケーションも攻撃を受ける可能性があると、同局は述べています。
「この設計のため、攻撃者はShockwave 10ランタイム、あるいはShockwave 10が提供するXtraのいずれかの脆弱性を狙うだけで済みます」とUS CERTは記しています。「例えば、Shockwaveの旧バージョンにはFlash 8.0.34.0が含まれていますが、これは2006年11月14日にリリースされたもので、複数の既知の脆弱性を含んでいます。」
US CERTは、XtraとFlashに関する問題を解説した2つの文書を公開しました。Adobeはこれらの問題を分析中だと述べています。1つ目は、Shockwaveが古いバージョンのFlashにダウングレードされる問題に関するもので、WindowsとAppleのMacの両方に影響を及ぼします。2つ目は、悪意のあるXtraに関するものです。
「これらの技術を使った実際の悪用や攻撃は、私たちも認識していません」とリップス氏は述べた。
ニュースのヒントやコメントは[email protected]までお送りください。Twitterで@jeremy_kirkをフォローしてください。
