米Adobe Systemsは米国時間2009年7月3日,Webアプリケーション・サーバー「ColdFusion 8」に付属のHTMLエディタ機能「FCKEditor」に脆弱性があり,ColdFusionで構築したサイトへの攻撃が発生していると公式ブログで発表した。修正パッチは1週間以内に公開する予定。
米SANS InstituteのInternet Storm Centerも同7月2日,ColdFusion製サイトを標的とした攻撃が過去24時間で多発しているとして注意を呼びかけていた。悪質なファイルをアップロードされ,サーバーを乗っとられる危険性があるという。また,サイト上のドキュメントに不正なスクリプトを埋め込むことで,サイト閲覧者にマルウエアを送り込む攻撃も確認されたとしている。
Adobeは同ソフトウエアの利用者に対し,修正パッチ公開までの対策として,FCKEditorのコネクタを無効にして不要なファイルを削除し,既にアップロードされたファイルがないか確認するよう呼びかけている。具体的な手順は同ブログ記事の中に説明がある。
FCKEditorは,Webページ上で動作するオープンソースのWYSIWYG型HTMLエディタ。SANSによると,今回多発した攻撃の中には,ColdFusion用の電子商取引アプリケーション「CFWebstore」の旧バージョンなど,サードパーティ製ソフトウエアに付属のFCKEditorの脆弱性を突いたものもあったという。
[Adobe公式ブログの投稿記事]
[SANS InstituteのInternet Storm Centerの投稿記事]
