パスワードを忘れた? アカウント作成
3594 story

Flashプラグインにローカルファイル参照可能な脆弱性 9

ストーリー by yourCat
バージョンアップの告知は? 部門より

k3c曰く、 "BugTraqへの投稿によれば、Macromedia社のInternet Explorer用Flashプラグインにローカルのファイルを参照できる脆弱性が見つかった。これにより、悪意ある他者が用意したWebページでHTTPリダイレクトやBASEタグの詐称によりローカルファイルを参照されてしまう。Internet Explorerでは.mhtファイルをダウンロードさせることによっても同様の攻撃が可能。影響を受けるブラウザのバージョンやOSの種類などは明らかにされていないが、新しいバージョン (6,0,47,0) のFlashプラグインがすでにMacromedia社から配布されているのでインストールすべし。ざっとチェックしたところ、WindowsとMac OS X/PowerPCのIE/Netscape用Flash 6プラグインは全て新しいバージョンに置き換わっている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Linux版も (スコア:3, 参考になる)

    by hajimetyan (3875) on 2002年08月10日 12時37分 (#143597) ホームページ
    2002/08/09更新のものが出ていますね。

    LinuxでMozillaを使っている方、交換しましょう。

    と、入れ方わからない人の為に
    # tar zxvf flash_linux.tar.gz -C /usr/lib/
    # cd /usr/lib/mozilla/plugins/
    # ln -s /usr/lib/flash_linux/ShockwaveFlash.class .
    # ln -s /usr/lib/flash_linux/libflashplayer.so .

    これでMozillaを再起動でし。
    --


    .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
    I 1 2 B H4[keR. :-)
    • 個人的には、「早く6にしる!あと日本語デバイスフォントが使えないバグさっさと直せ<半角>ゴルァ</半角>!!」っていう感想しかなかったりします。
      --
      gy0
      親コメント
    • by Anonymous Coward
      5.0r50で脆弱性が修正されているような情報ってありませんかね?
      #Macromediaのページを探し回ったんだけどみつからないす。。。
  • by Anonymous Coward on 2002年08月10日 1時11分 (#143434)
    ソニー銀行 [moneykit.net] はFlashプラグインが必須ですが、 まだお知らせとかは出てないですねえ。
  • by Dobon (7495) on 2002年08月10日 3時39分 (#143496) 日記
    凝ったWebPageは危険がいっぱい?
    JavaやJavaScriptでの危険性からflashに換えた企業が結構ありますが、これじゃかわんないですね。

    # pdfで作るのが(比較的に)安全なのかな?
    --
    notice : I ignore an anonymous contribution.
    • by se7en (7092) on 2002年08月10日 12時27分 (#143594)
      > # pdfで作るのが(比較的に)安全なのかな?

      PDF にも JavaScript 埋め込めますよ。

      でも PDF の JavaScript にセキュリティ上の脆弱性が見つかったという
      話は聞きませんね。
      親コメント
      • by Dobon (7495) on 2002年08月11日 3時33分 (#143834) 日記
        >でも PDF の JavaScript にセキュリティ上の脆弱性が
        1年ほど前に出てます。
        安全ではなくなったPDFファイル [zdnet.co.jp](2001/07の記事。)
        PDFを媒体とするウイルス [zdnet.co.jp](2001/08の記事)

        アクロバットを持っていない限り動かないので知られていないのかな?
        こういうのを見ると、文書ファイルにプログラムを埋込めるって事自体に問題があるような気がしてきます。
        (外部に出す文書はプログラムを埋め込めないフォーマットで作成するのが無難でしょう。Acrobatの3.0とか[笑])

        あとは…この種の、クライアント側で動作するスクリプト言語にはファイル参照機能を最初から実装しないって手がありますね。
        大抵のWebPageで要求されることの大半は「ちょっと便利なgifアニメ」程度ですので...

        --
        notice : I ignore an anonymous contribution.
        親コメント
    • 最近の状況を見ていると,「Flashを使う,電子商取引のサイトにXSSが存在しており,第3者が自由にHTMLを作成可能だった.」的な展開があっても良いかな,と思ったり.

      -1,余計なもの

      親コメント
    • by Anonymous Coward
      Flash本を立ち読んでみませう。
      何がどういう仕組みで動いているのかわかることでしょう。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...