【セキュリティ】4年前のAdobeパッチに起因する問題発覚、ブラウザやFlashに影響@Next2ch

1名無しさん@Next2ch:2015/03/24(火) 14:53:50.82 ID:???

米AdobeSystemsが2011年のパッチで対処したはずのFlexSDKコンパイラの脆弱性が
実は完全には修正されておらず、最新版のWebブラウザやFlashプラグインが
この脆弱性の影響を受けることが分かったという。
セキュリティ研究者が3月19日に情報を公開して大手Webサイトなどに対応を促した。

MindedSecurityとNibbleSecurityの研究者によると
この脆弱性はAdobeFlexSDK3.x~4.5.1でコンパイルされたSWFファイルにおいて
リソースモジュールのセキュリティドメインが適切に検証されない問題に起因する。

脆弱性のあるSWFファイルをホスティングしていれば
最新のパッチを適用したWebブラウザやプラグインであっても、同一生成元ポリシーを間接的に回避され
攻撃者にユーザーのデータを盗まれたり、ユーザーになり代わって動作を実行されたりする恐れがあるという。

研究者が調べた結果、Alexaの上位10サイトにランクされている3サイトを含め
膨大な数のWebサイトにこの脆弱性が存在することが分かったとしている。

対策として、脆弱性のあるバージョンのAdobeFlexSDKでコンパイルされたFlexSWFファイルは
最新版のApacheFlexSDKを使ってリコンパイルするか
Adobeの公式ツールを使ってパッチを適用する必要がある。
既に使われていない場合は削除するよう勧告している。

以下ソース
http://www.itmedia.co.jp/enterprise/articles/1503/24/news042.html

2名無しさん@Next2ch:2015/03/24(火) 18:35:06.48 ID:???

またか

3名無しさん@Next2ch:2015/03/24(火) 22:05:06.67 ID:???

だから Adobe google LINEに関わったらダメなんだって


このスレッドは過去ログです。