米国Adobe Systemsの「Flash Player」に、任意のコードのリモート実行に悪用可能な2つの
脆弱性が新たに見つかった。米国US-CERT(U.S.Computer Emergency Readiness Team)や、複数の
セキュリティ20+ 件調査会社が
セキュリティ・アドバイザリで報告している。
これらの
脆弱性は、ロシアの
脆弱性調査会社Intevydisによって発見された。同社はそれらを突くエクスプロイト・コードを同社の「Vulndisco」に統合済みだ。Vulndiscoは、米国Immunityの広く普及した侵入テスト・アプリケーション「CANVAS」のアドオン・モジュール。
「これらの
脆弱性をAdobeに通報する予定はない」と、Intevydisの創業者でCEOのエフゲニー・ルゲロフ(Evgeny Legerov)氏は語った。同氏は2年前、Intevydisが
脆弱性を発見してもベンダーに通報しない方針に転換したことを明らかにしている。
こうした「タダではバグ報告をしない」というアプローチを取っている
セキュリティ20+ 件企業は、Intevydisだけではない。フランスの
脆弱性調査会社Vupenもこの考え方を掲げており、同社が発見した
セキュリティ問題について、有料顧客にのみ情報を提供している。
Flash Playerの2つの脆弱性を突くIntevydisが開発したエクスプロイト・コードは、「DEP(Data Execute Prevention:データ実行防止)」や「ASLR(Address Space Layout Randomization)」といったWindowsの脆弱性悪用防止機能をすり抜け、「Internet Explorer(IE)」のサンドボックスを回避すると、ルゲロフ氏はImmunityのメーリング・リストへの12月6日付けの投稿で説明している。
また、Intevydisは、これらのエクスプロイト・コードのWindows上での挙動を示した動画を公開したほか、これらのコードのMac OS X版もリリースすることを約束している。
Flash Playerの脆弱性は、不正なFlashコンテンツをWebサイトやPDFドキュメントに埋め込むことで悪用できる。「Adobe Reader」と「Adobe Acrobat」はFlash再生コンポーネントを搭載しているため、一般的にFlash Playerの脆弱性の影響を受ける。
Adobeは、Intevydisが発見した2つの脆弱性についてアドバイザリを公開しておらず、コメントを求めたが、現時点で回答は得られていない。Adobeは、Adobe Readerの別のゼロデイ脆弱性のパッチを準備しており、今週公開する予定だ。
SANS Internet Storm Center(ISC)によると、
ウイルス対策企業や侵入検知システムのプロバイダーは、Intevydisが発見した2つの脆弱性のエクスプロイト・コードに対応するシグネチャをまだ作成していないという。一方、Intevydisのエクスプロイト・コードは、悪意ある個人によってリバース・エンジニアされるおそれがある。
現時点では、Flash Playerのこれらの脆弱性を悪用した攻撃の実例は確認されていない。しかし、
セキュリティ20+ 件を重視するユーザーは、パッチがリリースされるまで、Flashをブロックする技術をWebブラウザで利用し、Adobe ReaderでFlashサポートを無効にしたほうがよさそうだ。
(Lucian Constantin/IDG News Serviceルーマニア支局)
