トレンドマイクロは4月8日、Adobeが2011年に更新プログラムを公開して修正済とされた脆弱性「CVE-2011-2461」が、依然として影響を及ぼしていると公式ブログで説明している。セキュリティリサーチャーのLuca Carettoni氏とMauro Gentile氏が調査を行った。
Flash基盤のインターネットアプリケーション作成の際に利用されるソフトウェア開発キット「Adobe Flex SDK」に、この脆弱性は存在する。この脆弱性は「修正プログラムをAdobe Flex SDKに適用するだけ」で解決すると思われる可能性があるが、実際は修正プログラムの適用は解決策の一部に過ぎず、Flex SDKの更新と同時に使用するアプリケーション内のSWFファイルの脆弱性も確認する必要があり、その上で修正を施す必要がある。
脆弱性を抱えたSWFファイルは、他のWebサイト上で同一生成元のクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)を用いた攻撃に利用される可能性がある。この攻撃で攻撃者は不正なWebサイトへ対象者を誘導する。不正なWebサイト上でFlashのオブジェクトを読み込ませた後、脆弱性を抱えたSWFファイルがホストされた正規のWebサイトから、脆弱性を抱えたFlashファイルを読みこませる。これにより、正規のWebサイト上から、Cookieとして保存された認証情報やその他の情報が窃取されてしまうという。
サイトユーザーはこれにより、個人情報を盗み取られるだけでなく、攻撃者らがユーザーになりすまし、Web上でCookie情報を利用して何らかの取引を実行する可能性もあるとしている。この脆弱性は、ユーザーが利用しているAdobe Flash Playerのバージョンによらず、脆弱性を抱えたFlashファイルが存在するかぎり、被害が発生するとしている。
Webサイト管理者側の対策としては、テストツール「ParrotNG」を使用してWebサーバのFlashファイルをスキャンし、もし脆弱性を抱えたファイルが確認された場合は、「修正されたバージョンの Adobe Flexを使用してFlashファイルを再コンパイルする」か、再コンパイルを避けたい場合は「Adobe提供のツールを使用して脆弱性を抱えたSWFファイルを修正する」のいずれかを行うよう呼びかけている。Adobe提供ツールの具体的な使用法については、Adobeのヘルプサイトを参照のこと。
エンドユーザー側の対処法としては、リンク、とりわけソーシャルメディアやチャット経由で受信したリンクをクリックする際に細心の注意を払うこと、また、Flashを無効にすることも有効な対策になる。
