てっく煮ブログ

2008年05月29日
Flash, セキュリティー

Flash Player最新版にゼロデイでプログラム実行される脆弱性 (一部誤報?)

追記その1 (2008/5/29 11:00)

Adobe からの報告によると、最新版では再現してない、Symantecにも確認を取ったとのこと。ただ、一部で最新版でもクラッシュするという報告もあるようなので、結論を出すのはもう少し待ったほうがよさげ。

Adobe の報告を無理やり日本語訳するとこんな感じ。

Flash Player に対する攻撃コードに関する追加情報です。攻撃は reported by Mark Dowd of the ISS X-Force and wushi of team509, that was resolved in Flash Player 9.0.124.0 (CVE-2007-0071) で見つかった既知の脆弱性を利用しているようです。未知の脆弱性を突いている訳ではないので、最新の Flash Player 9.0.124.0 はこの攻撃の影響を受けません。攻撃コードについてはまだ調査中であり、新しい情報が出てき次第報告しますが、皆様におかれましては最新の Flash Player 9.0.124.0 を導入していただくようお願いいたします。

追記: Symantec 社から「Flash Player 9.0.124.0 の全バージョンが今回見つかった攻撃コードに対して脆弱ではない」との確証を得ました。

Here’s an update on our progress investigating the recent reports of a potential Flash Player exploit in the wild. The exploit appears to be taking advantage of a known vulnerability, reported by Mark Dowd of the ISS X-Force and wushi of team509, that was resolved in Flash Player 9.0.124.0 (CVE-2007-0071). This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.

UPDATE: We've just gotten confirmation from Symantec that all versions of Flash Player 9.0.124.0 are not vulnerable to these exploits.

Potential Flash Player issue – update « Adobe Product Security Incident Response Team (PSIRT) Blog

念のため繰り返しますが、日本語は私が勝手に訳したものです。原文は Potential Flash Player issue – update « Adobe Product Security Incident Response Team (PSIRT) Blog です。

ブックマークコメントで情報をくれた id:kems さん、ありがとうございます。

(/追記 2008/5/29 11:00 ここまで)

追記その2 (2008/5/29 13:00)

Adobe の上条さんのブログにも情報公開。akihiro kamijo: Flash Player の脆弱性に関する件のアップデートです

上で紹介してる英語のブログを日本語で砕いて説明しています。新しい情報はありません。あくまで経過報告である点が強調されていますね。

今回のアタックは 一部に報道されていたように zero-day アタックではなく、最新のバージョンである Flash Player 9.0.124.0 では再現しないことが Symantec 社により確認されたそうです。ただし、この blog 記事の内容は Adobe からの正式な発表ではありませんので、あくまで経過報告としてお伝えしている旨ご了解ください。

Flash Player の脆弱性に関する件のアップデートです - akihiro kamijo

(/追記 2008/5/29 13:00 ここまで)

追記その3 (2008/5/30 19:00)

最新版では影響を受けない、ということで確定のようです。

Adobe による情報はこちら。

(/追記 2008/5/30 19:00 ここまで)

.

.

.

でかい脆弱性が見つかった模様。

JPCERT
Adobe Flash Player の未修正の脆弱性に関する注意喚起
ITPro
Flash Player最新版に不正コードを実行される脆弱性,Symantecが警告:ITpro
IT Media
既に攻撃多発か? :Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
INTERNET Watch
Flash Playerに新たな脆弱性、サイト改竄と組み合わせた攻撃も発生
CNET Japan
Adobe Flash Playerに未修整の脆弱性、JPCERT/CCが注意喚起:ニュース
セキュリティホール memo
Adobe Flash Player の未修正の脆弱性に関する注意喚起 (各種最新情報へのリンク)
オジリナルのSecurityFocus社による警告(英語)
Adobe Flash Player SWF File Unspecified Remote Code Execution Vulnerability

分かりやすく説明すると、悪意のあるページを見ただけでウイルスに感染する危険性がある ということです。しかも、攻撃能力を持った SWF が世の中に登場しているようです。Zero Day な Remote Code Execution ですよ。ひえー。

最新版の Flash Player でも影響を受けるため、現状で取れる対策はなし。JavaScript をオフにする Flash Player をアンインストールする、といった消極的対応をとるしかなさそうです。

私はアンチウイルスソフトは使いたくない人なので、メインで使ってるブラウザの Flash Player をアンインストールしました。

記事によると、Symantec では「Downloader.Swif.C」という名前のウイルスとして認定したので、Norton な人はウイルスパターンを更新すると何とかなるのかもしれません。

(5月29日 1:00追記) McAfee と TrendMicro のサイトを日米両方とも見たけどそれらしい情報は見つからなかった。

Norton Internet Security 2008

Norton Internet Security 2008