3つあるようです・・・。公式アナウンスはまだみたいです。
当面、ActiveX コントロール/アドオンを無効化。後は EMET3 と NoScript に頼ります。
US-CERT http://www.kb.cert.org/vuls/id/323161
> US-CERT Vulnerability Note VU#323161 -
> Adobe Shockwave player provides vulnerable Flash runtime
※ " CVE IDs: Unknown " 。
※ "Slim" インストーラー は、問題の Flash Xtra を導入しない。( 但し、"Slim" を使え、とは書いていない。)
US-CERT http://www.kb.cert.org/vuls/id/519137
> US-CERT Vulnerability Note VU#519137 -
> Adobe Shockwave player installs Xtras without prompting
※ " CVE-2012-6271 " 。( "Phase Assigned (20121206) " との事。)
※ ワークアラウンドは、1) ActiveX コントロール/アドオン無効化。2) DEP / ASLR 。Vista 以降の IE は DEP 有効のハズ。
※ 3) EMET3 。導入すればデフォルトで IE は防御対象。 4) Firefox には、NoScript アドオンの追加も可。
※ " Use the "Full" Shockwave installer instead of the "Slim" one " 。 VU#323161 と真逆。(w
※ ≒ Slim に Flash Xtra は無い → 脆弱な版の Xtra を、攻撃者にリモートから導入される可能性あり。
US-CERT http://www.kb.cert.org/vuls/id/546769
> US-CERT Vulnerability Note VU#546769 -
> Adobe Shockwave player vulnerable to downgrading
※ " CVE-2012-6270 " 。自動インストールだと、古い Shockwave を導入しちゃうことがある模様。
※ ワークアラウンドは上と同じで、EMET 他を推奨。
個人的見解。
Flash モジュールの多重化度がこれ以上増加するのは、運用管理上よろしくないと思うので、
「 基本的に Xtra の少ない Slim インストーラーを使用する方がセキュリティ的に本筋 」
だと思います。
( Flash Xtra を含む ) Xtra 導入の際にプロンプトメッセージが表示されれば、ユーザーの意思でキャンセルは出来るので、
「 プロンプトは出して欲しい 」
と思います。
その上で、
「 Xtra のインストールを一切拒否出来るオプション 」
を用意して欲しいですね。
#いやもう、プラグインのプラグインって感じで何が何やら。orz マニュアル見たいだけなんですけど。
(関連)
一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU93897900/
> JVNVU#93897900:
> Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題
※ "Slim" インストーラーついて言及なし。
一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU90193767/
> JVNVU#90193767:
> Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題
※ プラグインモジュール = "Xtra" 。
一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU91076352/
> JVNVU#91076352:
> Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題
・・・
Adobe http://www.adobe.com/support/security/
> Adobe - Security bulletins and advisories
Adobe http://www.adobe.com/jp/support/security/
> Adobe - Security Advisories
Adobe http://helpx.adobe.com/shockwave/kb/shockwave-xtras-downloading-overview.html
> Shockwave Xtras downloading overview
・・・
Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=29851
> Download EMET from Official Microsoft Download Center
Mozilla Foundation https://addons.mozilla.org/ja/firefox/addon/noscript/
> NoScript :: Add-ons for Firefox
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20121024/1351079444
※ Adobe Shockwave Player バージョン 11.6.8.638 リリース
(追記@2012/12/20)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20121220_579667.html
> Shockwave Playerに旧Flashランタイムが同梱、遠隔操作の恐れ -INTERNET Watch
いじょうです。
-
- -