Flashプラグインにローカルファイル参照可能な脆弱性 9
ストーリー by yourCat
バージョンアップの告知は? 部門より
バージョンアップの告知は? 部門より
k3c曰く、 "BugTraqへの投稿によれば、Macromedia社のInternet Explorer用Flashプラグインにローカルのファイルを参照できる脆弱性が見つかった。これにより、悪意ある他者が用意したWebページでHTTPリダイレクトやBASEタグの詐称によりローカルファイルを参照されてしまう。Internet Explorerでは.mhtファイルをダウンロードさせることによっても同様の攻撃が可能。影響を受けるブラウザのバージョンやOSの種類などは明らかにされていないが、新しいバージョン (6,0,47,0) のFlashプラグインがすでにMacromedia社から配布されているのでインストールすべし。ざっとチェックしたところ、WindowsとMac OS X/PowerPCのIE/Netscape用Flash 6プラグインは全て新しいバージョンに置き換わっている。"
Linux版も (スコア:3, 参考になる)
LinuxでMozillaを使っている方、交換しましょう。
と、入れ方わからない人の為に
# tar zxvf flash_linux.tar.gz -C /usr/lib/
# cd /usr/lib/mozilla/plugins/
# ln -s /usr/lib/flash_linux/ShockwaveFlash.class .
# ln -s /usr/lib/flash_linux/libflashplayer.so .
これでMozillaを再起動でし。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
オフトピ:Linux版のFlashって (スコア:1)
gy0
Re:Linux版も (スコア:0)
#Macromediaのページを探し回ったんだけどみつからないす。。。
ソニー銀行からの知らせ (スコア:1, 参考になる)
凝ったWebPageは… (スコア:1)
JavaやJavaScriptでの危険性からflashに換えた企業が結構ありますが、これじゃかわんないですね。
# pdfで作るのが(比較的に)安全なのかな?
notice : I ignore an anonymous contribution.
Re:凝ったWebPageは… (スコア:1)
PDF にも JavaScript 埋め込めますよ。
でも PDF の JavaScript にセキュリティ上の脆弱性が見つかったという
話は聞きませんね。
Re:凝ったWebPageは… (スコア:2, 参考になる)
1年ほど前に出てます。
安全ではなくなったPDFファイル [zdnet.co.jp](2001/07の記事。)
PDFを媒体とするウイルス [zdnet.co.jp](2001/08の記事)
アクロバットを持っていない限り動かないので知られていないのかな?
こういうのを見ると、文書ファイルにプログラムを埋込めるって事自体に問題があるような気がしてきます。
(外部に出す文書はプログラムを埋め込めないフォーマットで作成するのが無難でしょう。Acrobatの3.0とか[笑])
あとは…この種の、クライアント側で動作するスクリプト言語にはファイル参照機能を最初から実装しないって手がありますね。
大抵のWebPageで要求されることの大半は「ちょっと便利なgifアニメ」程度ですので...
notice : I ignore an anonymous contribution.
馬鹿な妄想 (スコア:1)
最近の状況を見ていると,「Flashを使う,電子商取引のサイトにXSSが存在しており,第3者が自由にHTMLを作成可能だった.」的な展開があっても良いかな,と思ったり.
-1,余計なもの
Re:凝ったWebPageは… (スコア:0)
何がどういう仕組みで動いているのかわかることでしょう。