米国土安全保障省のコンピュータ緊急対応チーム(US-CERT)が米国時間3月16日に,米Adobe Systemsの「Macromedia Flash Player」や「Adobe Macromedia Shockwave Player」に危険性の高いセキュリティ・ホールが存在すると警告を発した。このセキュリティ・ホールを悪用すると,パソコンの遠隔操作や任意のプログラムの実行,サービス拒否攻撃(DoS)が可能になるという。Adobeは詳細情報「APSB06-03 Flash Player Update to Address Security Vulnerabilities」と修正用アップデータをWebサイトで公開している。
問題のセキュリティ・ホールを突くコードは,攻撃対象のユーザーの権限で作動する。そのため,管理者権限を持つユーザーを攻撃すれば,システム全体の制御を奪える。セキュリティ・ホールが存在するソフトウエアは以下の通り。
・Flash Player 8.0.22.0とそれ以前のバージョン
・Flash Professional 8
・Flash Basic
・Flash MX 2004
・Flash Debug Player 7.0.14.0とそれ以前のバージョン
・Flex 1.5
・Breeze Meeting Add-In 5.1とそれ以前のバージョン
・Adobe Macromedia Shockwave Player 10.1.0.11とそれ以前のバージョン
影響を受ける可能性のあるOSは,Windows,Mac OS X,Linux,Solarisなど。Windowsなど一部のOSは,セキュリティ・ホールのあるFlashソフトウエアが標準状態でインストールしてある。
US-CERTなどは,このセキュリティ・ホールに関する情報を公開している。
・US-CERT:VU#945060 - Adobe Macromedia Flash products contain multiple vulnerabilities
・米Microsoft:Adobe Security Bulletin:APSB06-03 Flash Player Update to Address Security Vulnerabilities
・MITRE:CVE-2006-0024
[発表資料へ]
