「Shockwave Player」の未修整の脆弱性を突く実証コードが21日夜、インターネット上で公開されたのを受け、アドビシステムズはアドバイザリーを出し注意を呼び掛けた。
Shockwave Playerは、同社のオーサリングソフト「Director」で作成されたコンテンツ、Directorムービー(.DIR .DCR)を再生するプレーヤー。今回明らかになった脆弱性は、DirectorムービーのrcsLチャンク(ファイル内の「rcsL」という名前が付いたデータブロック)が持つ非公開値を操作することによってメモリ破壊が発生するというもの。悪用されると、クラッシュやコード実行のおそれがある。
影響を受けるのは、Windows版とMac版の最新版「11.5.8.612」、およびそれ以前のバージョン。同社では、アップデートに向けて脆弱性の修正に取り組んでいる。
Shockwave Playerは、同社のFlash Playerのようには普及しておらず、脆弱性が狙われることも少ない。ところが今回は、詳細な脆弱性情報とともに実際に脆弱性を突いて電卓を起動してみせるWindows用の実証コードも公開されており、Webページを閲覧するだけで悪質なプログラムをダウンロード/実行させる、ドライブバイダウンロード攻撃への悪用が懸念される。
当面の対策としては、Shockwave Playerを一時アンインストールするか、同プラグインを無効化しておく。Internet Explorerを利用している場合には、インターネットオプションのセキュリティレベルを「高」にし、閲覧しても安全だと確信できるサイトを「信頼済みサイト」に登録するのが手っ取り早い。
(2010/10/25 ネットセキュリティニュース)
■APSA10-04: Security Advisory for Adobe Shockwave Player[英文](アドビ)
http://www.adobe.com/support/security/advisories/apsa10-04.html