アドビのAdobe Download ManagerとWebブラウザのFirefoxに、コード実行のおそれのある脆弱性が見つかったようだ。
■Adobe Download Manager:アドビは問題解決のため調査中
Adobe Download Managerは、中断されたダウンロードをその時点から再開する機能などを備えた、同社製品のダウンロード/インストールを支援するツール。同社の製品や体験版のダウンロードなどに用いられており、Adobe ReaderのインストールやFlash Playerのプラグインをインストールする際に、サイトの指示に従って同ツールをインストールしたユーザーも多いはずだ。
このAdobe Download Managerに先週の18日(現地時間)、未修整の脆弱性が見つかったとの報告があがった。同社のブログや発見者のAviv Raff氏のブログでは、脆弱性の詳細は述べられていないが、コード実行につながるおそれがあるという。同ツールのコンポーネントはNOS Microsystemsが開発したもので、アドビでは発見者や開発元と協力して調査を進め、できるだけ早く問題を解決するとしている。
発見者のAviv Raff氏のブログでは、システムにインストールされたままになっているAdobe Download Managerそのものが、プログラムのダウンロード/インストールに悪用されるおそれもあるとしており、コントロールパネルの「プログラムの追加と削除」を使って削除する方法を紹介している。Firefoxの場合には、プラグインとしてインストールされるので、「ツール」メニューの「アドオンの管理」を開き「getPlusPlus for Adobe....」を無効化する。Adobe Download Managerは、必要な時には再びダウンロードの指示があるので、削除しておいても問題はない。
・Adobe Download Manager issue[英文](Adobe)
http://blogs.adobe.com/psirt/2010/02/adobe_download_manager_issue.html
・Skeletons in Adobe's security closet[英文](Aviv Raff On .NET)
http://aviv.raffon.net/2010/02/18/SkeletonsInAdobesSecurityCloset.aspx
■Firefox:18日付でSecuniaが「アドバイザリ」公開
Firefox 3/3.5の最新版の公開と前後して、同製品に存在する未修整の危険な脆弱性が表面化した。セキュリティベンダーのSecuniaが、18日付でアドバイザリを公開したもので、こちらも詳細は不明だがコード実行のおそれがあるという。Firefox 3.6の問題として報告されているが、アドバイザリでは他のバージョンにも影響する可能性があるとしている。脆弱性の発見者はImmunity社とのことで、同社が販売するゼロデイコードのパッケージに、Windows XP/Vista上のFirefox 3.6を攻略したコードが含まれているらしい。Sunbeltのブログによると、同社はMozillaに脆弱性の詳細情報は伝えていないそうで、あくまでも販売するのが目的という。
脆弱性関連情報の扱いは、開発元ができるだけ早く修正し、利用するユーザーへの影響が出ないようにすることが最優先されるべき。国内では経済産業省の告示に基づいて、脆弱性関連情報の届出・受付機関として情報処理推進機構(IPA)が、また製品開発者への連絡や公表などの調整機関としてJPCERTコーディネーションセンター(JPCERT/CC)が指定されており、一般にはそういうルールにのっとった扱いがなされている。ところが、ときおりルールを無視して公開してしまう人や、それを悪用しようとする人が出てきて世間を混乱させる。Sunbeltのブログどおりなら、ルールを無視して一般ユーザーを混乱させる迷惑行為がなされたことになる。
・Mozilla Firefox Unspecified Code Execution Vulnerability[英文](Secunia)
http://secunia.com/advisories/38608/
・Sunbelt Blog Exploit for zero-day vuln in Firefox is for sale[英文](Sunbelt Blog)
http://sunbeltblog.blogspot.com/2010/02/exploit-for-zero-day-vuln-in-firefox-is.html
(2010/02/23 ネットセキュリティニュース)