FlashのActiveXプラグインにBuffer Overflow脆弱性
タレコミ by k3c
k3c 曰く、
BugTraqへの投稿によれば、Macromedia FlashのActiveXプラグインであるFlash.ocxのバージョン6.0r23以前にバッファオーバーフローの脆弱性があり、この脆弱性を突いたコードを含んだHTMLをIEで表示させる(Outlook ExpressなどIEコンポーネントを使った他のプログラムでもよい)ことで、FlashのActiveXプラグインを通してそのコードを実行させることができるそうです。Macromediaからは既に対策済みのバージョン(6.0r29)がダウンロードできます。
以前、Flashムービー形式のウイルスというのをタレコみましたが、これは感染にFlashプレイヤーが必須だったのに対して、今度の脆弱性はIEのFlashプラグインがあれば被害を受けます。IEのインストーラでオプションとしてインストールできたり、Windows Updateでインストールを勧められたりするプラグインであり、最近ではWebでの広告媒体としても用いられはじめていたのですが…Flashよ、お前もか。
この種の問題に対する根本的な対策としては、いつも言われることですが、IEのセキュリティ設定を変更して、ActiveXコントロールのダウンロードや実行を無効にすること、でしょう。なお、Flash.ocxが自分のPCにインストールされていないか検索などで確認し、もしインストールされていればバージョンアップしておくこともオススメしておきます。(投稿を読むと、削除は安全な選択肢とは言えないような気がしますがどうなんでしょう。)ちなみにワタシのPCにはばっちりインストールされてました…とりあえず速攻でバージョンアップしてきましたとも。