6月28日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。
■アドビShockwave Playerにぜい弱性(2009/06/23)
米アドビ システムズのShockwave Player 11.5.0.596ならびにそれ以前のバージョンに,攻撃者の用意した任意のコードを実行されてしまうぜい弱性(CVE-2009-1860)が存在します。この問題は,Shockwave PlayerがアドビDirectorファイルを読み込む際のメモリー参照に関する問題で,米ティッピングポイントが立ち上げたぜい弱性報告プログラム「Zero Day Initiative」によって確認されました。Shockwave Playerを利用しているユーザーは,影響を受けるバージョンをアンインストールした後,11.5.0.600へのアップデートを実施してください。
アドビでは,Webコンテンツの再生ツールとして,Flash PlayerとShockwave Playerを提供しています。アドビの提供情報によれば,Shockwave Playerは,より強力なコンテンツ再生ツールとなっています。詳細については,アドビのFAQ(Frequently Asked Questions,よくある質問)を参照してください。
ここでは,「Flash PlayerあるいはShockwave Playerをインストールしているのか?」,「インストールしている場合には,そのバージョンは?」の確認方法を紹介します。ブラウザによってインストール方法や使用するプログラムが異なりますので注意してください。Firefoxを利用しているユーザーは,Internet ExplorerとFirefoxの両方について確認してください。
ステップ1:テスト・ページへのアクセスAdobe - Adobe Shockwave とFlash Playerのテストにアクセスしてください。
ステップ2:インストール有無の確認
Flash PlayerあるいはShockwave Playerをインストールしていない場合には,図1のようなページが表示されます。この場合,ここで確認作業は完了です。
Flash PlayerあるいはShockwave Playerをインストールしている場合には,図2のようなページが表示されます。上段がShockwave Playerで左下の表示11.5r600は,バージョン11.5.0.600がインストールされていることを示しています。下段がFlash Playerで,Aboutタグを選択するとバージョン情報を表示できます。2009年6月末時点で最新版はバージョン10.0.22.87です。バージョン情報の表示が,11.5r600(Shockwave Player),10.0.22.87(Flash Player)に一致しない場合には,アップデートを実施してください。
[参考情報]
- APSB09-08: Security Update available for Shockwave Player
- ZDI-09-044: Adobe Shockwave Player Director File Parsing Pointer Overwrite Vulnerability
- Flash PlayerとAdobe Shockwave Playerの違いは?
- Adobe - Adobe Shockwave とFlash Playerのテスト
- Adobe Shockwave Playerのインストール
- Adobe Flash Playerのインストール
■シスコPhysical Access Gatewayにぜい弱性(2009/06/24)
物理アクセス制御ソリューションを提供する製品であるPhysical Access Gatewayに,ぜい弱性(CVE-2009-1163)が存在します。Physical Access Gatewayは,TCP通信の3ウェイ・ハンドシェーク処理が終了した後に,細工されたパケットをTCPポート番号443で受信した場合,サービス不能(DoS:denial of service)状態に陥る可能性があります。
[参考情報]