また、アドビ社側でこの脆弱性を8ヶ月前に把握したものの、この問題を間違って捉えていたことも発覚した
最新版でも全部のOS、ブラウザでFlashとAcrobatに脆弱性 2009年7月23日
■MS臨時パッチの脆弱性はFlashにも影響、7月30日の修正版で対応
http://internet.watch.impress.co.jp/docs/news/20090729_305640.htmlAdobeは28日、マイクロソフトが臨時の修正パッチを公開した「Active Template Library(ATL)」の脆弱性が、Flash PlayerとShockwave Playerにも影響があることを公表した。Shockwave Playerは最新版で脆弱性を修正済みとなっており、Flash Playerについては7月30日に予定しているFlash Playerのアップデートで対応するとしている。
Adobeによれば、ATLの脆弱性はFlash PlayerとShockwave Playerの中でも、Windows版のInternet Explorer(IE)用プラグインのみに影響があることが確認され、Firefoxなど他のブラウザ用のプラグインや、Mac版、UNIX版などには影響が無いという。また、Adobe Readerなど、その他の製品も脆弱性の影響は受けないとしている。
Flash Playerについては、別の脆弱性に対応するため7月30日にアップデートを予定しており、ATLの脆弱性についてもこのアップデートで同時に対応する予定だとしている。また、Shockwave Playerについては、最新版のバージョン11.5.1.601で既にこの脆弱性については修正済みとなっている。
関連情報
■URL
Adobe Product Security Incident Response Team公式ブログの該当記事(英文)
http://blogs.adobe.com/psirt/2009/07/impact_of_microsoft_atl_vulner.html
Adobeによるセキュリティアドバイザリ(英文)
http://www.adobe.com/support/security/advisories/apsa09-04.html
■関連記事
・マイクロソフト、臨時の修正パッチ2件を公開 (2009/7/29)
・Flash Playerに新たな脆弱性、修正版は7月30日までに公開 (2009/7/23)
(三柳 英樹)2009/7/29 13:42
■Flash Playerの脆弱性はWindowsユーザーの9割強に影響 Secunia調べ
Windows PCの92%に、脆弱性のあるFlash Player 10がインストールされていることが分かったという。
http://www.itmedia.co.jp/news/articles/0907/28/news031.html2009年07月28日 12時16分 更新
Adobe Flash PlayerとReader/Acrobatに未解決の深刻な脆弱性が見つかった問題で、デンマークのセキュリティ企業Secuniaは、Windows PCの9割以上に脆弱性のあるFlash Playerがインストールされていることが分かったとブログで報告した。
脆弱性はFlash Playerのバージョン9および10と、Reader/Acrobatのバージョン9に存在し、不正なPDFファイルやサイト改ざんによるゼロデイ攻撃の発生も伝えられている。
SecuniaはWindows向けに無償提供している脆弱性発見・パッチ適用支援ソフト「Secunia PSI」のユーザー約90万人について、脆弱性のあるFlash PlayerとReader/Acrobatがどの程度インストールされているかを調べた。
その結果、Flash Player 10はPCの92.12%にインストールされていることが判明。Flash Player 9は31.11%、Reader 9は47.65%、Acrobat 9は1.74%の割合でそれぞれインストールされていた。
AdobeはFlash Playerの脆弱性修正パッチを7月30日までに、Reader/Acrobatのパッチを31日までに公開すると表明しており、ユーザーは自分のPCにこれらソフトがインストールされているかどうかを、まず確認しておいた方がいいとSecuniaは忠告している。
関連キーワード
Flash Player | 脆弱性 | Acrobat | Adobe Systems(アドビシステムズ) | ゼロデイ攻撃
関連記事
Flash Playerの脆弱性は7月中に解決予定、Adobeが表明
ゼロデイ攻撃が発生しており、AdobeはFlash Playerの更新版を7月30日までに、Reader/Acrobatの更新版を31日までにリリースし、深刻な脆弱性に対処する。
Flash Playerに新たな脆弱性、PDFを使うゼロデイ攻撃が発生
攻撃にはPDFファイルが使われているため、一見するとAdobe Readerの脆弱性に思えるが、実はFlash Playerのコンポーネントに脆弱性が存在するという。【Secunia調査】
■Flashの脆弱性、Windowsユーザーの9割以上に影響――Secuniaが警鐘
修正パッチの提供は7月30日。それまでは危険な状態に
http://www.computerworld.jp/topics/vs/156829.html(2009年07月28日)
米国Adobe SystemsはFlashのゼロデイ脆弱性に対する修正パッチを7月30日に公開する予定だが、それまでの間、危険にさらされるWindowsユーザーは10人中9人以上に上る――デンマークのセキュリティ・ベンダー、Secuniaは7月27日、このような調査結果を発表した。
脆弱性検知ツール「Secunia PSI」のユーザー・インタフェース
Secuniaによると、脆弱性検知ツール「Secunia PSI」を実行したPCユーザー90万人のうち、「Flash Player 10」のユーザーが92%、「同9」のユーザーが31%いたという(合計が100%を超えるのは、両方をインストールしているユーザーがいたため)。このSecunia PSIは、Windowsにインストールされているアプリケーションのバージョン・ナンバーをスキャンし、最新バージョンではない場合はアップデートへのリンクを示すユーティリティである。
これらのFlash Playerは、悪意あるサイトや改ざんした正規サイトでドライブバイ攻撃を受ける可能性がある。Flashに対してこの攻撃を仕掛けるサイトは、ウイルス対策ベンダー各社からすでに数多く報告されている。
今回の調査では、「Adobe Reader 9.1.2」と「Abode Acrobat 9.1.2」のユーザーがそれぞれ48%と2%いることも判明した。両方ともPDFファイルに埋め込まれたFlashコンテンツを扱えることから攻撃の対象になりうるという。実際に、初期の攻撃は不正なPDFを利用するものだった。
今回の脆弱性のルーツであるバグが最初にAdobeのバグ追跡データベースに記録されたのは、今から7カ月前の2008年末である。同社は7月22日、緊急のセキュリティ対策に乗り出し、7月30日までにFlashの修正パッチを、また7月31日までにReaderとAcrobatのフィックスを提供すると約束した。
それまでの間、欠陥のあるコンポーネント「authplay.dll」を削除したり使えない状態にしたりするしか対処方法はない。Adobeはセキュリティ告知にその概要を説明しており、米国カーネギーメロン大学のCERT(Computer Emergency Response Team)なども影響や回避策について紹介している。
SecuniaのPSIパートナー・プログラム担当マネジャー、ミッケル・ウィンザー(Mikkel Winther)氏は、電子メールでの取材に応じ、「インストールしたソフトウェアに脆弱性があるということは、家のドアを開けっ放しにしたり、鍵をかけずにいたりするのと同じことだ。たとえ強盗が侵入しなかったとしても、防御策を講じていない以上、いつ被害に遭ってもおかしくない」と述べた。
今年のAdobeはセキュリティの受難続きだ。3月中旬にReaderの脆弱性をいくつか修正したにもかかわらず、その後も5月、6月と立て続けに2件のアップデートを公開した。また、先週にはSecuniaから、AdobeがReaderの古いエディションをダウンロード提供し続けているとの批判を受け、ソフトウェア・アップデートの仕組みを変える意向を表明した。
(Gregg Keizer/Computerworld米国版)
関連キーワード
Adobe Systemsの公式セキュリティ・ブログ│セキュリティ・マネジメント│システム脆弱性│リッチ・クライアント/RIAZDNetニュース
■アドビの「ゼロデイ脆弱性」は8ヶ月前から知られていたことが明らかに
http://itpro.nikkeibp.co.jp/article/MAG/20090727/334498/記事一覧へ >>
現在のAdobe Flash Playerに対するゼロデイ攻撃は,実際にはゼロデイ攻撃ではなかったことがわかった。新たに明らかになった情報によれば,Adobeのセキュリティ対応チームはこの脆弱性について,2008年12月31日から知っていたが,これを「データ損失・破壊」の問題だと誤診断していた(画像参照・画像提供:@Shirkdog)。
7月第4週にこの攻撃に関する情報が明らかになった際,Adobeは素早くこのバグチケットへのアクセスをロックし,「セキュリティバグへと再分類」されたと表示した。
特別に作成されたPDF文書内でFlash Playerを悪用する今回の攻撃が出回った後,Adobeのセキュリティ対応プロセスは加速され,同社は一時的な緩和策を提供する個別のアドバイザリを発表した。
同社は米国時間7月30日と31日に,Windows,Mac,Linuxユーザー向けのパッチをリリースする予定だ。
SourcefireのLurene Grenier氏によれば,出回っている攻撃では少なくとも2つの異なる脆弱性が悪用されている。Adobeのアドバイザリでは「1件の重大な脆弱性」と述べられているだけであるため,7月末に提供されるパッチですべての問題が修正されるかははっきりしない。
(参照:Adobe Flashにゼロデイ攻撃,Adobe Readerにただちに処置を)
当面の間は,Adobeの勧告に従い,Adobe ReaderおよびAcrobat v9.xと一緒に出荷されているauthplay.dllファイルを削除あるいは名前の変更を行うか,同ファイルへのアクセスを削除するべきだ。これによって,現在使われている攻撃ベクトルを緩和できる。
Firefoxユーザーは単純に,Adobeがパッチをリリースするまで,Flash Playerプラグインを無効にしておいてもよい。
今回,重大なセキュリティ上の脆弱性を誤診断したことは,セキュリティを主眼にした運用の全面的な見直し(ポッドキャスト)を行うことでイメージを刷新しようと四苦八苦しているAdobeにとっては,恥ずかしいことだ。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
関連記事
アドビ公式サイトで安全でないバージョンのAdobe Readerが配布される - 2009/07/22 15:00:01
アドビ,初の定例パッチを公開--「Adobe Reader」と「Acrobat」の脆弱性に対応 - 2009/06/11 10:52:01
Adobe Flashにゼロデイ攻撃,Adobe Readerにただちに処置を - 2009/07/23 12:41:02
[2009/07/27]