パスワードを忘れた? アカウント作成
4550 story

Flashにいろいろ出来ちゃう脆弱性 41

ストーリー by Oliver
SVGとか使おう 部門より

ryouki7000 曰く、 "CNet Japanの記事参照。MacromediaのFlash Playerに脆弱性があり、swfを読ませただけで制御を奪える模様。発見者の詳細説明ページもどうぞ。脆弱性をもっているバージョンは[Windows/Linux/UNIX/Mac]の[less than 6.0.65.0]って事で、要するに最新版以外全部。CNet Japanの記事でも懸念されているが、プラグインってのはなかなかアップデートの必要性を感じてもらえないもんなんで(そもそも入ってること自体を知らなかったりとかして)、アップデートがスムーズに行くかどうかが問題になりそう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ダウンロードは (スコア:3, 参考になる)

    by k3c (4386) on 2002年12月18日 18時49分 (#220392) ホームページ 日記
    たとえば日本語ページだとこのへん [macromedia.com]からですね。

    なお、Linux版のページの下の方に書いてあるインストラクションは現在のtarballの内容と一致していないようです(ShockwaveFlash.classというファイルが無くなり、代わりにflashplayer.xptというファイルが追加されている)。インストールスクリプトを実行して、プラグインのディレクトリを指定する、というのが現在のやりかたです。

    …しかしいよいよ、Flashプラグインも安全ではなくなってきたんですね…いや、元から安全ではなかったのが、今になって判明したということなんでしょうケド…。
    • by pantora (11989) on 2002年12月18日 19時27分 (#220416)
      >インストールスクリプトを実行して、プラグインの
      >ディレクトリを指定する、というのが現在のやりかたです。

      強制的に/usr/local/lib/mozilla/pluginsに
      放り込むのもよろしいかと。
      --
      PCにECC Registeredメモリの利用を推奨します。
      親コメント
    • linux x86 に関してはRPM版もあるようです。
      # ブラウザ次第ではtar版の頁に飛ばされ気付きません。私みたいに。
      Macromedia - その他の Web Player [macromedia.com] から辿れます。

      海外主要ディストリに関して一通り揃っているので、
      好みに合わせてそちらを選択するのも一案。
      親コメント
    • by bushidoh (12670) on 2002年12月18日 21時12分 (#220474)
      > …しかしいよいよ、Flashプラグインも安全ではなくなってきたんですね

      既に 8 月の時、オーバーフローが指摘されていますよ。。。いよいよ?

      http://www.eeye.com/html/Research/Advisories/AD20020808b.html
      Macromedia Shockwave Flash Malformed Header Overflow

      http://www.eeye.com/html/Research/Advisories/AD20021216.html
      Macromedia Shockwave Flash Malformed Header Overflow #2
      親コメント
    • by BIWYFI (11941) on 2002年12月19日 10時03分 (#220717) 日記
      >しかしいよいよ、Flashプラグインも安全ではなくなってきたんですね

       Windows開発関連のNGでは、FlashがかつてShockwaveとしてデビューした時に、既に、新たなセキュリティホールになるって、指摘されてましたよ。IEの脆弱性が大々的に指摘される遙以前の話です。
      //あまりに古くて、何時頃だったかも分からないが...

       「セキュリティに気を使うならプラグインの類は使うな」ってのは、 常識だったかと。
      --
      -- Buy It When You Found It --
      親コメント
  • by chi (11062) on 2002年12月18日 19時04分 (#220402) 日記
    毎回IEを落とす度に、Flashは消してしまった方が良いかなぁ。
    ナローバンド系の方は非常に辛いですが、そもそもFlash系のコンテンツは見ないという前提で…

    ※IEでのFlash Playerの消し方
    1.[ツール]メニューから[インターネットオプション]をクリック。
    2.[設定]ボタンをクリック。
    3.[オブジェクトの表示]ボタンをクリック。
    4.リスト中の「Shockwave Flash Object」を削除
    • Flash Player を消したら、さらに ActiveX コントロールのダウンロードを禁止するか、「ActiveX コントロールをダウンロードするか?」という旨のダイアログボックスが出てきたときちゃんと読むようにしないと、却って危険になったりします。

      chi さんはご存じなのでしょうけど、念のため。

      もちろん、 Flash Player に限った話ではありませんが。
      --
      鵜呑みにしてみる?
      親コメント
      • フォローありがとうございます。
        常に最新のFlash Playerを使い続けるためには、毎回On Demandインストールさせるの
        が良いかと思って記述した訳なのですが。

        勿論ActiveXコントロールのダウンロード画面は、皆さんよく読んでからボタンを押して
        下さい。
        親コメント
        • ええっと……大丈夫なのかな? ちょっとわからなくなってきました。

          一応、ぼくが心配しているのは、悪意ある Web ページによって古い Flash Player をダウンロードさせられる可能性です。

          ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。ページに書いてあるより新しいバージョンの Flash Player が既にクライアントにインストールされていたら、既にインストールされているものが使われますが、クライアントに Flash Player がインストールされていなかったり、ページに書かれているのより古いのがインストールされている場合、 Web ページに書いてあるバージョンを取りに行くことになると思います。

          このとき表示される「ActiveX コントロールのダウンロード」の確認ダイアログボックスには、 Macromedia によって正しく署名された Flash Player バージョン x.xx をダウンロードしようとしている旨表示されるでしょう。ユーザはここで、 Flash Player バージョン x.xx が最新でないことに気付かなければならないのです。ぼくが書いた
          ちゃんと読むようにしないと、却って危険になったりします。
          というのは、そういう意味です。

          ……と書きながら、本当にそうだったっけ、 Windows の MS02-065 の話 [ryukoku.ac.jp]か何かと混乱しているのではないか、と今一つ自信がないのですが、今、調べたり試したりしている余裕なし (T_T)
          --
          鵜呑みにしてみる?
          親コメント
          • ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。

            いえ、できません。
            codebaseを指定する時に、
            http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0
            と書いても、常に最新版のFlash playerがインストールされます。このフラグメントIDは、バージョンの指定ではなく、ブラウザのキャッシュ防止のためについているものだからです。

            既にインストールされているFlash playerよりも古いFlash playerをインストールするためには、IEのオブジェクトファイルを直接削除してもいいのですが、手順としては

            1. まずMacromedia - その他の Web Player [macromedia.com]を参照。
            2. アンインストーラーを入手して、アンインストールします。
            3. 次にMacromedia - Flash TechNotes: Archived Macromedia Flash Players available for testing purposes [macromedia.com]を参照。
            4. 古いバージョンのFlash playerのcabを入手してインストール。

            ということになります(結構面倒です)。

            Webページ側でクライアントにどのバージョンを使わせるかを指示するためには、Flash playerがインストールされていない環境やあれば、#220656 [srad.jp]に書いたページでのやり方のように、直接古いcabをcodepageに書いておく必要があります。そのcabよりも新しいFlash playerがインストールされていれば、その指定は無視されますが。

            したがって、codepageに6,0,47,0のcab(たぶん6,0,65,0のひとつ前がこれだと思うので。6,0,64,0とかあるようなら、むしろそれ)を指定しておくことで、最新の6,0,65,0をインストールしていない全てのIEユーザーに対して、攻撃することが可能といえます。

            やり方が変わらない限りは、既に出ている結論ですが、常に最新のFlash playerを使うか、全く使わないかのどちらかしか対応策が無いということですね。

            親コメント
            • あ、なんかちょっとトンチンカンな書き出しになっちゃってますね。
              「できません」というのは嘘というか、“指示する”の意味を少し取り違えました。
              “指示する”というのを、一般的な(?)
              http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=hogehoge
              というcodebaseの時に設定できるというような意味に捉えてしまったというかです。
              すみません。
              親コメント
          • うーむ。そこまで考えていませんでした。

            確認ダイアログの画面を見てみましたが、日付は記載してありましたが、バージョン番号まで
            は載ってないですね。
            どうやら常に最新版を追っかけて入れておくか、まったく使用しないかの二択しか無いようです…
            親コメント
            • 重要なことを忘れていました。 Macromedia のサーバからは最新版しかダウンロードできないようになっていると思います。なので、 Macromedia のサーバからダウンロードしようとしていることが確認できれば大丈夫だと思います。が、どこからダウンロードしようとしているかは表示されるのでしたっけ(今 Windows 環境にいないので……)。
              確認ダイアログの画面を見てみましたが、日付は記載してありましたが、バージョン番号まで
              は載ってないですね。
              そうでしたか。バージョン番号は表示されると思っていました。
              --
              鵜呑みにしてみる?
              親コメント
              • なので、 Macromedia のサーバからダウンロードしようとしていることが確認できれば大丈夫だと思います。が、どこからダウンロードしようとしているかは表示されるのでしたっけ(今 Windows 環境にいないので……)。
                残念ながらダウンロードの場所は記載されていません。 試しにプロバイダの自分のページスペースから.cabファイルをダウンロードさせても、 オリジナルダウンロードとの違いは見受けられませんでした。 悪意を持って古いバージョンを落とされそうな時には、確認ダイアログの画面をよく見ても 駄目みたいですね。
                親コメント
              • これはFlash(というかswf)の動作確認をする時のために用意しているもの [w3j.org]ですが、古いFlash playerのインストール時にはこのようなダイアログが出ます。ここではすべてマクロメディアのサーバから取りに行ってますが、cabが何処にあるかはダイアログの内容に影響を及ぼしません。
                ご参考までに。

                なお、上記URLにて古いFlashをインストールするには、あらかじめFlashをアンインストールしておく必要があります。
                親コメント
              • 古い Flash Player が Macromedia のサイトに載っていないか調べたことがあって、いろいろ試したけど見つからなかった(と当時思っていた)ので、ないと思い込んでいました。ありがとうございます。

                // 最近突っ込まれまくりだ。こんなんじゃいかんなぁ。

                ということは、
                • 常に Flash Player の最新版を入れておく
                • Flash Player を使わない
                くらいしか手はないようですね。そして、同じことが Flash Player 以外の様々な ActiveX コントロールにも言えるわけで。 IE がもう少し賢くなってくれないと……。
                --
                鵜呑みにしてみる?
                親コメント
    • >毎回IEを落とす度に、Flashは消してしまった方が良いかなぁ。
      >ナローバンド系の方は非常に辛いですが、そもそもFlash系の
      >コンテンツは見ないという前提で…

      なぜにIE限定なのかわかりませんが、最近は表現力の強化や、ブラウザ等の
      プラットホームの違いによる見え方の違いをなくすためにFlashにしてしまう
      サイトも多いようです。
      専用のプラグ
  • by Technical Type (3408) on 2002年12月18日 19時10分 (#220406)
    見る側の PC に Flash が無いとまるで表示できないという酷いサイトは減りつつあるも、企業のトップページなどでは Flash 版と HTML 版を別に用意している所が多い。しかしそういうサイトでも、英語が用意されていなかったりする。Webサイト構築のために使える費用が無制限ではないのは理解できるが、見る側が Flash があったからといって何ら有益な情報を得る事ができないのに見た目の派手さのための費用は惜しまず、その反面、在日外国人のために簡単な英語のページを用意する事さえ考えつかない (あるいは、投資家向けの英語のページだけはやたら豪華だったりする) 日本の会社が多い。これでは World Wide Web の名が泣くような。Flash はバリアフリーにも障害となるみたいだし、、、

    いずれにせよ、 Flash を使用しているサイトは今回の脆弱性をトップページで案内すべし。

    • by Anonymous Coward on 2002年12月19日 0時40分 (#220574)
      私が知る限りではスポーツ用品メーカー、自動車メーカーなど「ブランドイメージ」みたいなものを大事にしたいらいしい企業はFlashがないと何も見えないところは多いです。
      結局ユーザーの利便性なんてな〜んも考えてないとしか思えないのだが、そういうページを見て、ユーザー(あるいは顧客)がどう感じるか、考えた事ないのかな?
      親コメント
      • by Anonymous Coward on 2002年12月19日 1時03分 (#220598)
        ブランドイメージっていうか、スラドとかに出入りしているオタク層は客のターゲットにないってことでは。
        普通の一般にPCメールやウェブブラウジングぐらいしか使わない層ってのは単純にカッコイイってのはイメージアップになるのではないでしょうか?
        特に日本人は見た目のかっこよさには弱いようですから。
        普通にIEで見る分には見れないって事もないですしね。
        利便性って言ってもプラグイン簡単に入りますし。
        親コメント
        • 昔聞いた話なので,本当かどうかは分からないのですが…。

          1997年頃の日本ではテキスト中心のサイトが主流で,画像を過剰に使ったサイトは確実に嫌われていました。しかし,フランスでは当時から画像を多用したページがカッコいいということで,そのようなサイトがむしろ主流だっ
        • 釣れますか?
      • by Anonymous Coward on 2002年12月19日 10時19分 (#220724)
        日本企業だけじゃないですねぇ。
        何でもかんでもFlashにぶち込まれてしまうと、
        機械翻訳を通せないので非常に困ります。
        何か引用したい情報があっても、
        目で見てリタイプしなきゃいけないし...。

        情報の再利用性と言う観点では、
        恐ろしくローテクな手段だと思うのですが、
        幾らコストかけても平気な大企業に、
        再利用性の重要さを説くのは無理なのかな...。
        親コメント
      • 以前(1年ほど前)楽器メーカーのKORG [korg.co.jp]のサイトを観たときに、Flash使いまくりで、辟易しました。(サイトのメールフォームでボロカス書いておいた記憶がある。「二度とくるもんか」ぐらいは書いたかな。)

        その後、2chのDTM版とかみてると、やはり一般のユーザーから非難轟々だったらしくて、徐々に改善されていったようです。
        現在は、1年ほど前に比べて幾分ましになっています。(それでもFlashうざいには変わりないけど。)
        ま、全面Flash使いまくり状態から、ユーザーの圧力によって(だと思うけど確証はない)多少は改善された例もあるということで。
        親コメント
  • バージョン確認はサポート [macromedia.com]中央にある flash の about を見ればいいみたい。
    IE でもっと簡単に確認出来る方法ってあります?
  • 不具合は、Flashファイルのヘッダーに攻撃者が編集を加えて、ファイルにコマンドを実行させ、コンピューター・システムに侵入できるというものだ。
    元記事にはこんな風に書いてあるし、 コンテンツ製作者が悪意と、それなりの知識がないとだめですよね。

    あぁでも、Flash ファイルをアップロードできる掲示板とかを使えば、 匿名性を確保しつつ悪質なコードを仕込むことが出来るからやばいか。

    --
    use Test::More 'no_plan';
  • 日本限定の話になりますが、Opera6の場合ですと、割と早め(*1)に、国内のユーザ
    コミュニティのひとつ [moonstone.jp]に告知の投稿 [g-7.ne.jp]があったようです。

    # どれだけ効果があったかはわかりませんけど。ご参考まで。

    (*1:2002/12/13(金) 20:55 のタイムスタンプでした)
    --
    --
    Regards, Regards  (Slashdot.jp 無粋部)
  • by ta98 (10561) on 2002年12月18日 23時39分 (#220553) ホームページ
    最新版の Flash Player入れようとしたら「お前のOSは古すぎるのでダメ」って出てインストールできんかった。古いOSに対応したプラグインを見つけることも出来ず…。(MacOS 8.1)

    もうFlashコンテンツなんか見ない…。いや見られない。

    #新しいの買えって言われればそうなんだけど
    • by GPH (8223) on 2002年12月19日 0時54分 (#220587) 日記
      一応、古いのが欲しい場合はサポートに問い合わせてくれい、ということのようです。聞いてみましょう。

      オフトピですが、8.1でHFS+使ってて一年以上修復した覚えが無い、場合はなんかの修復ソフト買って直したほうがいいかも。若干バグ持ちなんで・・・。
      親コメント
    • マクロメディアが作ってる訳じゃないので
      無償で入手出来るの Ver4 系なんですけど。

      つ~か現在入手出来るの有償だし。
      親コメント
    • by Anonymous Coward
      不完全ながら見ることが出来ますよ。
      Ver.5以降かな。
      QuickTimeコントロールパネルの「MIMEの設定」で.swfにチェックを入れれば良かったはず。
  • by Anonymous Coward on 2002年12月19日 3時12分 (#220654)
    なんで、マクロメディア株式会社は情報だしてくんないんだろう。
    日本語ページには関連の情報がまったく載ってないように見えるんですが...。
    私が見つけてないだけ、ですよね....。
  • by Anonymous Coward on 2002年12月19日 2時03分 (#220630)
    CNetJapanの記事にある製品責任者の名前だけ見てなんとなく納得してしまった。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...