「Adobe Flex SDK」に2011年に発見された脆弱性「CVE-2011-2461」は、当時パッチがリリースされていたが、未だに膨大な数のウェブサイトで脆弱性が放置されていることが、研究者グループの調査で明らかとなった。
共同研究者とともに問題を発見したMauro Gentile氏は、米国時間3月18日から開催されていたセキュリティカンファレンス「TROOPERS15」において、CVE-2011-2461の脆弱性がパッチのリリースから4年が経った現在も根絶されていない状況について報告し、セキュリティ情報ウェブサイトSecLists.Orgのメーリングリスト「Full Disclosure」にも関連情報を投稿した。
脆弱性の影響を受けるのはAdobe Flex SDK 3.xと4.x。脆弱性のあるAdobe Flexでコンパイルしたアプリケーションは、再コンパイルするかパッチを適用しない限り脆弱性は解決されない。脆弱性を悪用されると、攻撃者によって重要な情報を窃取されるか、リモートから各種の処理を実行される可能性がある。
具体的には、攻撃者は脆弱性のあるFlash動画にSame-Originリクエストを実行させ、そのレスポンスを攻撃者に返すように強制できる。標的のウェブサイトから発行されたHTTPリクエストにはCookieが含まれているため、HTTPレスポンスにはCSRF対策トークンやユーザーの個人情報などが含まれている場合がある。この攻撃は、最新バージョンのウェブブラウザやFlashプラグインを使用しているユーザーも標的にできる。
Gentile氏を始めとする研究者グループは、脆弱性を検出するために開発した特別なツールを使用して、大手ウェブサイト上で公開されている膨大な数のSWFファイルを分析するという大規模な調査を行った。その結果、「Alexa Top 100」にランキングされている大手ウェブサイトを含む、夥しい数のサイトで脆弱性が放置されていることが判明した。
研究者グループは過去数カ月にわたり、大手ウェブサイトに脆弱性の存在を直接通知すべく最善を尽くしてきたが、それ以外の大多数のウェブサイトにも問題を周知させるため、やむなく技術的詳細の一般公開に踏み切ったという。Gentile氏は、脆弱性の危険性を説き、SWFファイルの脆弱性を検出できるツールを提供することで、脆弱性の根絶に寄与したいと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス