4年前のAdobeパッチに起因する問題発覚、ブラウザやFlashに影響

2011年のパッチで対処したはずのFlex SDKコンパイラの脆弱性が実は完全には修正されておらず、最新版のWebブラウザやFlashプラグインがこの脆弱性の影響を受けることが分かったという。大手サイトにも影響が及ぶ。 米Adobe Systemsが2011年のパッチで対処したはずのFlex SDKコンパイラの脆弱性が実は完全には修正されておらず、最新版のWebブラウザやFlashプラグインがこの脆弱性の影響を受けることが分かったという。セキュリティ研究者が3月19日に情報を公開して大手Webサイトなどに対応を促した。 Minded SecurityとNibbleSecurityの研究者によると、この脆弱性はAdobe Flex SDK 3.x～4.5.1でコンパイルされたSWFファイルにおいて、リソースモジュールのセキュリティドメインが適切に検証されない問題に起因する。 脆弱性のあるSW

[sifue]

これはひどい...。

[bk-zen]

FlexSDKのコンパイラの脆弱性かと思ったら Flexフレームワークのバグっぽいな。リソースモジュールを外部から読み込む機構部分に脆弱性があったっぽい。FlashProとかなら問題なさげ。

[JULY]

SDK の問題、って書いているけど、逆から見ると、細工した SWF ファイルを作れば、同一生成元ポリシーを回避できる、という、Player 側の脆弱性では？ バイナリアンなら SDK 無関係に細工するだろうし。

[m_nagase]

Adobeのソフトウエア開発能力は推して知るべし