米国のセキュリティ機関CERTは17日(現地時間)、アドビシステムズの「Shockwave Player」に関する3件の脆弱性情報を公開した。いずれも、任意のコードを実行される可能性のある危険な脆弱性で、Webサイトを閲覧するだけでウイルスに感染してしまう恐れがある。
Shockwave Playerは、アドビシステムズに吸収されたマクロメディアが開発したオーサリングソフト、「Director」で作成されたコンテンツを再生するためのプレーヤーのこと。公開されたのは、このShockwave Playerの最新版「11.6.8.638」およびそれ以前のバージョンに影響する次の3件の脆弱性情報だ。
(1)Directorコンテンツの閲覧時に、Shockwave Playerの旧バージョンが自動的にインストールされてしまう問題
(2)Shockwave PlayerにFlash Playerの古いバージョンのランタイムが同梱されている問題
(3)アドビまたはマクロメディアが署名したXtra(Shockwave Player用の拡張機能)が自動的にインストールされてしまう問題
(1)は、バージョン10以前のDirectorコンテンツを「11」互換であることを示さずにブラウザ上で再生しようとすると、Shockwave Player 10がインストールされるというもの。バージョン10は、アドビに吸収される前のマクロメディア時代の旧版、バージョン11は吸収後の2008年にアドビからリリースされた現行版で、互換性の関係から、それぞれ別のプレーヤーが用意されている。ところが旧版は、「10.4.0.25」を最後にアップデートされておらず、その後に見つかった脆弱性の修正が11のみであるため、旧版にも影響する脆弱性攻撃を受けるおそれがある。
(2)は、Shockwave Playerをフルインストールした場合に、「10.2.159.1」相当のFlash Playerがインストールされるというもの。「10.1」以降のShockwave Playerには、すべてのXtraを同梱した「Full」と、最小限のXtraのみに限定した「Slim」の2種類のインストーラが用意されており、「Full」をインストールした場合には、Flashムービーを再生する拡張機能「Flash Asset Xtra」がインストールされる。Flash Player 10の最新版が「10.3.183.48」であるのに対し、インストールされるのは1年半以上も前の旧版であるため、その後に修正された既知の脆弱性攻撃を受けるおそれがある。
Shockwave Playerをダウンロードする際の初期設定は、Slim版が選択されているので、Full版を指定しなければ古いFlash Asset Xtraはインストールされない。ところが、Slim版で省かれてしまったXtraは、コンテンツの再生時に必要に応じてダウンロード/インストールするようになっており、アドビまたはマクロメディアによって署名されたXtraの場合には、ユーザーに断りなく自動的にインストールされてしまうのだ。さらにXtraは、どこからダウンロードしてくるのかも指定できるため、古いXtraをダウンロードさせた上で、既知の脆弱性攻撃をしかけることも可能だ。
■対処方法
これら脆弱性に関して、アドビからは今のところアナウンスはなく、修正版も提供されていない。幸いにも、Directorコンテンツがほとんど使われていない日本国内では、Shockwave Playerはあまり普及しておらず、多くのパソコンにはインストールされていない。念のため下記の「Shockwave Playerの確認」ページで、Shockwave Playerがインストールされているかどうかを確かめていただきたい。このページの「Adobe Shockwave Player. 20K Director ムービー」が再生されなければ、Shockwave Playerはインストールされていないので、脆弱性の影響を心配する必要はない。
インストールされている場合には、特に必要でないのならアンインストールしてしまうのが手っ取り早い。アンインストールは、コントロールパネルの「プログラムの機能」または、下記「Web Player」のページでダウンロードできる、Shockwave Player用のアンインストーラを使用する。
Shockwave Playerが必要な方は、CERTの脆弱性情報のページに、対策がいくつか挙げられているので参考にしていただきたい。比較的簡単な方法としては、Webブラウザの機能やアドオンを使って信頼できるサイト以外のアクセスを制限するか、Shockwave Playerのプラグインを無効化し、不用意にDirectorコンテンツを再生しないようにしておくとよい。
なお、脆弱性情報の抄訳は、JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構 (IPA)が共同で運営するJVN(Japan Vulnerability Notes:URL下記)で閲覧できる。
(2012/12/24 ネットセキュリティニュース)
【関連URL】
・Shockwave Playerの確認(アドビ)
http://www.adobe.com/jp/shockwave/welcome/
・Web Player(アドビ)
http://www.adobe.com/jp/shockwave/download/alternates/
・Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題(JVN)
http://jvn.jp/cert/JVNVU91076352/
・Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題(JVN)
http://jvn.jp/cert/JVNVU93897900/
・Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題(JVN)
http://jvn.jp/cert/JVNVU90193767/
・Adobe Shockwave player vulnerable to downgrading[英文](US-CERT)
http://www.kb.cert.org/vuls/id/546769
・Adobe Shockwave player installs Xtras without prompting[英文](US-CERT)
http://www.kb.cert.org/vuls/id/519137
・Adobe Shockwave player provides vulnerable Flash runtime[英文](US-CERT)
http://www.kb.cert.org/vuls/id/323161