編集部からのお知らせ
新型コロナ禍が組み替えるシステム
テレワーク関連記事一覧はこちら

「Adobe Flex SDK」に発見された4年前の脆弱性、多くのウェブサイトで未修正

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-03-24 11:42

 「Adobe Flex SDK」に2011年に発見された脆弱性「CVE-2011-2461」は、当時パッチがリリースされていたが、未だに膨大な数のウェブサイトで脆弱性が放置されていることが、研究者グループの調査で明らかとなった。

 共同研究者とともに問題を発見したMauro Gentile氏は、米国時間3月18日から開催されていたセキュリティカンファレンス「TROOPERS15」において、CVE-2011-2461の脆弱性がパッチのリリースから4年が経った現在も根絶されていない状況について報告し、セキュリティ情報ウェブサイトSecLists.Orgのメーリングリスト「Full Disclosure」にも関連情報を投稿した。

 脆弱性の影響を受けるのはAdobe Flex SDK 3.xと4.x。脆弱性のあるAdobe Flexでコンパイルしたアプリケーションは、再コンパイルするかパッチを適用しない限り脆弱性は解決されない。脆弱性を悪用されると、攻撃者によって重要な情報を窃取されるか、リモートから各種の処理を実行される可能性がある。

 具体的には、攻撃者は脆弱性のあるFlash動画にSame-Originリクエストを実行させ、そのレスポンスを攻撃者に返すように強制できる。標的のウェブサイトから発行されたHTTPリクエストにはCookieが含まれているため、HTTPレスポンスにはCSRF対策トークンやユーザーの個人情報などが含まれている場合がある。この攻撃は、最新バージョンのウェブブラウザやFlashプラグインを使用しているユーザーも標的にできる。

 Gentile氏を始めとする研究者グループは、脆弱性を検出するために開発した特別なツールを使用して、大手ウェブサイト上で公開されている膨大な数のSWFファイルを分析するという大規模な調査を行った。その結果、「Alexa Top 100」にランキングされている大手ウェブサイトを含む、夥しい数のサイトで脆弱性が放置されていることが判明した。

 研究者グループは過去数カ月にわたり、大手ウェブサイトに脆弱性の存在を直接通知すべく最善を尽くしてきたが、それ以外の大多数のウェブサイトにも問題を周知させるため、やむなく技術的詳細の一般公開に踏み切ったという。Gentile氏は、脆弱性の危険性を説き、SWFファイルの脆弱性を検出できるツールを提供することで、脆弱性の根絶に寄与したいと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    テレワークで起こりがちなトラブルの原因「資料が自宅から閲覧できない」にどう対処する?

  2. 経営

    CIOが成功するための最大の条件は「CEOとの連携」にあり?!516名のCIO調査を紐解く

  3. 経営

    【働き方改革事例】PCの調達・管理に関する不安を解決するサブスクリプションサービス

  4. クラウドコンピューティング

    【DX解説書】もっともDXに不向きな〇〇業界が取り組むべき改革とは?

  5. クラウドコンピューティング

    今すぐ「働き方改革」に着手するべき、2つの理由と改革への第一歩

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]