2011年に修正されたはずの脆弱性、いまだにリスクあり? - TMが注意喚起

トレンドマイクロは4月8日、Adobeが2011年に更新プログラムを公開して修正済とされた脆弱性「CVE-2011-2461」が、依然として影響を及ぼしていると公式ブログで説明している。セキュリティリサーチャーのLuca Carettoni氏とMauro Gentile氏が調査を行った。

Flash基盤のインターネットアプリケーション作成の際に利用されるソフトウェア開発キット「Adobe Flex SDK」に、この脆弱性は存在する。この脆弱性は「修正プログラムをAdobe Flex SDKに適用するだけ」で解決すると思われる可能性があるが、実際は修正プログラムの適用は解決策の一部に過ぎず、Flex SDKの更新と同時に使用するアプリケーション内のSWFファイルの脆弱性も確認する必要があり、その上で修正を施す必要がある。

脆弱性を抱えたSWFファイルは、他のWebサイト上で同一生成元のクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)を用いた攻撃に利用される可能性がある。この攻撃で攻撃者は不正なWebサイトへ対象者を誘導する。不正なWebサイト上でFlashのオブジェクトを読み込ませた後、脆弱性を抱えたSWFファイルがホストされた正規のWebサイトから、脆弱性を抱えたFlashファイルを読みこませる。