Adobe Shockwave Player に脆弱性 - 取締役平社員ブログ (ベータ版)

３つあるようです・・・。公式アナウンスはまだみたいです。

当面、ActiveX コントロール/アドオンを無効化。後は EMET3 と NoScript に頼ります。

US-CERT http://www.kb.cert.org/vuls/id/323161
> US-CERT Vulnerability Note VU#323161 -
> Adobe Shockwave player provides vulnerable Flash runtime

※ " CVE IDs: Unknown " 。

※ "Slim" インストーラーは、問題の Flash Xtra を導入しない。( 但し、"Slim" を使え、とは書いていない。)

US-CERT http://www.kb.cert.org/vuls/id/519137
> US-CERT Vulnerability Note VU#519137 -
> Adobe Shockwave player installs Xtras without prompting

※ " CVE-2012-6271 " 。( "Phase Assigned (20121206) " との事。)

※ ワークアラウンドは、1) ActiveX コントロール/アドオン無効化。2) DEP / ASLR 。Vista 以降の IE は DEP 有効のハズ。

※ 3) EMET3 。導入すればデフォルトで IE は防御対象。 4) Firefox には、NoScript アドオンの追加も可。

※ " Use the "Full" Shockwave installer instead of the "Slim" one " 。 VU#323161 と真逆。(w

※ ≒ Slim に Flash Xtra は無い → 脆弱な版の Xtra を、攻撃者にリモートから導入される可能性あり。

US-CERT http://www.kb.cert.org/vuls/id/546769
> US-CERT Vulnerability Note VU#546769 -
> Adobe Shockwave player vulnerable to downgrading

※ " CVE-2012-6270 " 。自動インストールだと、古い Shockwave を導入しちゃうことがある模様。

※ ワークアラウンドは上と同じで、EMET 他を推奨。

個人的見解。

Flash モジュールの多重化度がこれ以上増加するのは、運用管理上よろしくないと思うので、

「基本的に Xtra の少ない Slim インストーラーを使用する方がセキュリティ的に本筋」

だと思います。

( Flash Xtra を含む ) Xtra 導入の際にプロンプトメッセージが表示されれば、ユーザーの意思でキャンセルは出来るので、

「プロンプトは出して欲しい」

と思います。

その上で、

「 Xtra のインストールを一切拒否出来るオプション」

を用意して欲しいですね。

#いやもう、プラグインのプラグインって感じで何が何やら。orz マニュアル見たいだけなんですけど。

(関連)

一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU93897900/
> JVNVU#93897900:
> Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題

※ "Slim" インストーラーついて言及なし。

一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU90193767/
> JVNVU#90193767:
> Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題

※ プラグインモジュール = "Xtra" 。

一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU91076352/
> JVNVU#91076352:
> Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題

・・・

・・・

・・・

※ Adobe Shockwave Player バージョン 11.6.8.638 リリース

(追記@2012/12/20)

いじょうです。