φ(..)メモメモ

米Adobe SystemsのShockwave Playerに任意のコード実行に利用される恐れのある脆弱性が報告されたとして、米セキュリティ機関のUS-CERTが12月17日付で3件のアドバイザリーを公開した。
このうち機能拡張モジュール「Xtra」の利用に起因する脆弱性では、攻撃者が脆弱性のあるXtraをダウンロードさせてShockwaveムービーを再生させることにより、脆弱性を悪用できてしまう恐れがあるという。
また、WindowsとMac向けShockwave Player最新版の11.6.8.638に、脆弱性のあるバージョンのFlashランタイムが組み込まれている問題も指摘された。11.6.8.638の「Full」版のインストーラーに組み込まれたFlashは、2011年4月15日にリリースされた古いバージョンの10.2.159.1で、複数の脆弱性が存在している。Shockwaveはシステム全体にインストールされたFlashではなく、自前のFlashランタイムを使う仕組みになっているという。

Shockwave Playerに脆弱性、米機関が3件のアドバイザリー公開 - ITmedia エンタープライズ