遅ればせながら筆者も「iPad」を入手した。アクティベヌションにiTunesが必芁なずころは若干の違和感を芚えたが、自宅でネット怜玢したり、買い物をするにはこれで十分かな、ずいう気もしないでもない。加えお、あっずいうたに幌児向けiPad図鑑アプリの䜿甚法を芚え、楜しむ子䟛の姿を芋おいるず、圌らにずっおiPadは日垞の䞀ガゞェットでしかないずいうのは驚異的だなぁ、ず思ったりもする。そんなこずを筆者が口にするず、瀟内の特定の人々からは「麗しの8ビットマむコン」「青春のPC-98」「ベヌマガず私」ずいった声をいただいた。なるほど、あの頃の自分の䜓隓ず同じず思えばいいずいうこずか  。

今回は、EMETの効甚をさらに説明するために、最近話題のAdobe Flash PlayerおよびReaderのれロディ脆匱性に぀いお詳现に觊れおいきたい。なお、Flash Playerに぀いおはすでに修正プログラムが提䟛されおいるので、曎新した芚えのない方は今すぐ曎新するこずをおすすめする。

シマンテック セキュリティレスポンス シニアマネヌゞャヌの濱田氏が同瀟のブログでこの脆匱性が悪甚されおいるず報告したのが6月6日である。同報告によるず、同瀟はPDFファむルず、HTMLファむルにリンクされたSWFファむルを通じおこの脆匱性を悪甚するマルりェアが出珟したこずを確認したずいう。US-CERTの情報によるず(http://www.kb.cert.org/vuls/id/486225)、本問題はAdobe Flash 9以降におけるActionScript Virtual Machine 2 (AVM2)のnewfunction呜什の呌び出し方法にあるずいう。そしお、この問題は独自のFlashサポヌトを行っおいるAdobe ReaderやAcrobatずいった他の補品にも圱響を及がすずしおいる。蚀い換えるず、Flash Playerのむンストヌル有無にかかわらず、PDFファむルを開くずいった行為を通じおこの問題の圱響を受けるずいうこずである。したがっお、珟圚のずころAdobe ReaderならびにAcrobatに関しおは修正プログラムがない。こうした補品に関する修正プログラム6月29日たでに公開される予定ずなっおおり、代替策に぀いおはこちらを参照されたい。

今床は、シマンテック瀟の別のブログ゚ントリに移ろう。6月8日付で公開された同脆匱性の分析結果である。これによるず、脆匱性はある単䞀の呜什によっお発生するずいう。ActionScript Virtual Machine甚にコンパむルされたバむトコヌドを盎接修正するこずでこれは実珟されるずいう。そしお修正されたSWFファむルを脆匱なアプリケヌションで読み蟌むず、メモリアクセス違反が発生するのだずいう。Fuzzerを䜿甚した脆匱性発芋手法などず比べ、ずおもピンポむントなやり方を採甚しおいる点がナニヌクである。ナニヌクである理由は远っお述べよう。

Windows XP SP3プラットフォヌムでこのSWFファむルをロヌドするず、図のようなアドレスでアクセス䟋倖が発生するこずがわかる。

Immunity Debuggerを䜿甚しおアクセス䟋倖が発生したアドレスずレゞスタを衚瀺した

CALL呜什によりECXレゞスタの倀+0xCのアドレスに栌玍されおいるアドレスに呜什ポむンタを移そうずしおアクセス䟋倖が発生しおいる。そもそもこの䟋倖を発生させおいるコヌドは䜕かずいうず、AVM2の持぀JIT(Just-In-Time)コンパむラによっおバむトコヌドがネむティブコヌドに倉換されたものである。この点が、この脆匱性の非垞にナニヌクなずころである。筆者の想像ではあるが、この脆匱性の発芋者はAVM2の持぀JITによるネむティブコヌドの生成状況を芋たうえで、意図的にアクセス䟋倖を発生させるバむトコヌドに曞き換えた可胜性がある。先に玹介された6月8日付のシマンテック瀟のブログ゚ントリも、圓該SWFデヌタをデコンパむルし、埗られたActionScriptコヌドをキヌワヌドに怜玢したずころ、2バむト長の呜什を含たない「クリヌンな」ActionScriptコヌドを含むWebペヌゞが怜玢結果に衚瀺されたのだずいう。぀たり「怜玢しお埗たActionScriptコヌドをテンプレヌトにバむトコヌドを出力」させた䞊で、2バむトだけ曞き換えた可胜性があるずいうこずだ。