緊急情報:FlashPlayer セキュリティアップデート
今月号の記事
アドビ システムズ社は、Adobe Flash Player のセキュリティを強化するために、2008年4月に Flash Player 9 のセキュリティアップデートをリリースします。今回のアップデートは、これまでに明らかになっている Flash Player の脆弱性を軽減するものです。対象となるのは、DNS リバインディング攻撃やクロスドメインポリシーファイル脆弱性 (セキュリティ速報 ABSP07-20) 、SWF 内でのクロスサイトスクリプティング脆弱性(セキュリティ情報 APSA07-06) です。
なお、今回のセキュリティ強化の実施により、既存の Flash コンテンツに影響を及ぼす可能性があります。コンテンツ提供者は、4月のセキュリティアップデータの内容を参照の上、制作したコンテンツへの影響について確認し、影響がある場合には、スムーズに移行できるように、以下の Web サイトで紹介している対応手順に沿って SWF ファイルへの対応をする必要があります。
4月のセキュリティアップデートの概要説明およびアップデートの情報は、以下のページに掲載されます。
http://www.adobe.com/jp/devnet/flashplayer/articles/flash_player9_security_update.html
Flash Player 9 のセキュリティアップデートにおいてコンテンツへの影響が生じる可能性があるのは以下のケースです。
- XMLSocket や Socket を使用している
- クロスドメインでデータ送受信する際のネットワーク API で
addRequestHeaderやURLRequest.requestHeadersを使用している。あるいは、Web サービス提供者としてリモートドメイン上のコンテンツへのアクセスを許可している。 - Flash Player バージョン7以前の形式で書き出した SWF ファイルが、ホストとなる HTML ファイルとコミュニケーションを行っている。
- ネットワーク API を介して外部の SWF とコミュニケーションをとる際に「javascript:」を使用している。
そのほか、Adobe Flash Player 9 のセキュリティに関する情報は以下をご参照ください。
- Flash Player デベロッパーセンター
- [セキュリティ速報 ABSP07-20] Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開
- [セキュリティ情報 APSA07-06] SWFファイルの潜在的なクロスサイトスクリプティング脆弱性について
