JVNDB-2012-005744
|
Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題
|
|
Adobe Shockwave Player には、プラグインモジュールのインストールに関する問題が存在します。
Adobe Shockwave Player は、Shockwave コンテンツを閲覧する際に、必要な Xtra (プラグインモジュール) をインストールします。このとき、Xtra に Adobe もしくは Macromedia の正しい署名が確認できた場合、ユーザに断りなく自動的に当該 Xtra がインストールされます。必要な Xtra は Shockwave コンテンツ自身が指定できるため、既知の脆弱性を持つ、古いバージョンの Xtra をインストールさせることが可能です。
|
|
CVSS v2 による深刻度
基本値: 9.3 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
アドビシステムズ
|
|
|
細工された Shockwave コンテンツを閲覧することで、遠隔の第三者が指定した旧バージョンの Xtra をインストールさせられる可能性があります。結果として、遠隔の第三者によって、既知の脆弱性を使用した様々な攻撃を受ける可能性があります。
|
|
2012年12月19日現在、対策方法はありません。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* Shockwave コンテンツへのアクセスを制限する
* Shockwave Player の ActiveX コントロールを無効にする (Internet Explorer のユーザ向け)
* Enhanced Mitigation Experience Toolkit (EMET) を適用する
(http://support.microsoft.com/kb/2458544)
* Data Execution Prevention (DEP) を有効にする
(http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx)
|
|
アドビシステムズ
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2012-6271
|
|
- JVN : JVNVU#90193767
- National Vulnerability Database (NVD) : CVE-2012-6271
- US-CERT Vulnerability Note : VU#519137
|
|
- [2012年12月19日]
掲載
[2012年12月21日]
CVSS による深刻度:基本値と脆弱性評価基準を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
|
