公開日:2007/12/20 最終更新日:2008/03/27

JVN#45675516
Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性

概要

Adobe が提供する Flash Player には、クロスドメインポリシーファイルの扱いに関する脆弱性が存在します。

影響を受けるシステム

  • Flash Player 7.0.70.0 およびそれ以前
  • Flash Player 8.0.35.0 およびそれ以前
  • Flash Player 9.0.48.0 およびそれ以前

詳しくはベンダが提供する情報をご確認ください。

詳細情報

Adobe が提供する Flash Player は、同社が提供する動画作成ソフトウェア Flash によって作成されたウェブコンテンツを見るためのプラグインです。Flash Player が、Flash コンテンツが設置されているウェブサイトとは別のウェブサイトを参照する場合には、参照されるウェブサイトにおいてクロスドメインポリシーファイルにより、アクセスを許可されている必要があります。
Flash Player には、クロスドメインポリシーファイルの扱いが不適切なため、細工されたウェブページをクロスドメインポリシーファイルとして解釈してしまう脆弱性が存在します。

想定される影響

細工されたウェブページにより、ウェブサイトのクロスドメインポリシーが迂回される可能性があります。この結果、ウェブサイト管理者の意図に反してデータがアクセスされる可能性があります。

対策方法

アップデートする
Flash Player 8.x および Flash Player 9.x をお使いの場合:
ベンダが提供する情報をもとに最新版へアップデートしてください。

パッチを適用する
Flash Player 7.x をお使いの場合:
ベンダが提供するFlash Player update TechNoteに記載されている情報をもとにパッチを適応してください。
ベンダによると、Flash Player 7.x のセキュリティアップデートは、本アップデートを最後としサポート終了 に掲載されているアーカイブをご利用ください。

詳しくはベンダが提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Adobe Flash Player Update available to Address Security Vulnerabilities
Security bulletins and advisories
Security changes in Flash Player 9

参考情報

  1. US-CERT Vulnerability Note VU#935737
    Adobe Flash Player may load arbitrary, malformed cross-domain policy files

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.12.20における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者: 株式会社ユービーセキュア 杉山 俊春 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-6243
JVN iPedia JVNDB-2007-000817

更新履歴

2008/03/27
参考情報:US-CERT Vulnerability Note VU#935737 へのリンクを追加しました。