【マンスリーレポート 2003/04】Flash ADに CSS 脆弱性 綿密になされた情報開示 | ScanNetSecurity
2025.03.28(金)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

【マンスリーレポート 2003/04】Flash ADに CSS 脆弱性 綿密になされた情報開示

 バナー広告やアプリケーション等、世界中で使用されているマクロメディア社のMacromedia Flash。
 そのマクロメディア社が推奨している Macromedia Flash AD の方法には、任意のスクリプトをインジェクションできる問題があった。
 この問題を悪用することで、クロス

製品・サービス・業界動向
17 views
 バナー広告やアプリケーション等、世界中で使用されているマクロメディア社のMacromedia Flash。
 そのマクロメディア社が推奨している Macromedia Flash AD の方法には、任意のスクリプトをインジェクションできる問題があった。
 この問題を悪用することで、クロスサイトスクリプティング(CSS)などの攻撃を行うことが可能となっていた。cookie の盗用、セッションハイジャック(Persistent Cookie のみでのセッション管理をしている場合)が可能である。
 この件について、匿名の第三者(当編集部へ問題点を通報)、マクロメディア、編集部およびその提携先であるイスラエル SecuriTeam の間で情報のやりとりが行われた。

 実際に事故が起こったわけではない。さらに言えば、「脆弱性」とは得てして、様々な見方によって影響範囲やリスクの評価が分かれる類のものが多い。要は、「黒か白か」はっきりさせるというよりは、各自のポリシーのもとにリスク等も含めてそれぞれが見解を詳細に、オープンにユーザに示す行為がきちんとなされるか否か、が前提になると思われる。そして前提であるにも関わらず、それがなされていない例も多い。
 そのような中、本件にマクロメディア社は真摯に対応を行ったといえる。本稿では相互連絡の過程や、情報開示についての見解など、対応そのものに注目してお送りしたい。


>> 双方で検証 綿密な情報交換

 まずは経緯を、時系列に基づいて記してみる。

 3月28日、匿名の発見者より最初の連絡が編集部に届き、編集部では検証を開始した。4月1日には同発見者からテストコードを含む連絡が届く。編集部での検証も完了した。
 4月2日にマクロメディア(日本)社に編集部より連絡を行う。
 翌3日 編集部提携先であるイスラエル SecuriTeam(Beyond Security Ltd.)に連絡し、日本版以外での検証などを依頼。4日に同チームから、マクロメディア(米国)社の「international security contact」に連絡したいとの申し出が来たため、この旨了解した。

 4月7日、マクロメディア(日本)社から最初の回答が届く。問題の内容について、誤解があったため、再度、編集部よりくわしい説明を返信。 同じ頃SecuriTeamにも「international security contact」から同じような回答が届き、SecuriTeam が説明に困っている旨の連絡があった。

 4月11日、マクロメディア(日本)社より、本社と連携して対処中である旨の連絡が届く。電話で検証チームと話をしたい旨の依頼を受ける。また同日、マクロメディア社(米国)がこの問題を WEB に掲載した。

 4月12日、イスラエル SecuriTeamからマクロメディア社(米国)が対処を完了した旨の連絡が編集部に入る。編集部よりイスラエル SecuriTeamに、マクロメディア(米国)社の公表内容に関する問題(同一ドメインの他ページの cookie 漏洩問題)を連絡。イスラエル SecuriTeamは、マクロメディア(米国)社にこの問題を連絡した。

 4月14日、マクロメディア(日本)と電話による情報交換。双方で確認を行い、反映した発表内容をマクロメディア社(日本)に送付。主として技術内容に関しての確認を行う。 並行してイスラエル SecuriTeamに、サブドメインを利用した問題回避方法を送る。同サイト上に "Workaround" として掲載された。夕方、マクロメディア社(日本)と電話で送付した発表内容に関する情報交換を行う。その内容をもとにさらに修正を加えた。


>> 本件で発揮された、積極的な情報開示の姿勢

 現在、マクロメディア社(日本)の以下ページから、本件に対する問題の概要、具体例、対処法等が細かく記載されているページへ飛ぶことができる。

◇セキュリティゾーン(マクロメディア)
http://www.macromedia.com/jp/devnet/security/security_zone/

 同ページの公開は4月10日。編集部から詳細を記したメールを送った後のことであり、さらに編集部との相互連絡のなかで、「具体例」「対処法」が随時更新されていった。最終更新は4月24日。「埋め込みHTMLタグ例」が記載され、現在に至っている。
 さらに同ページには「NetSecurity」に掲載されたページへのリンクも貼られている。技術的な詳細については、こちらをご覧頂きたい。

◇ Flash AD に CSS 脆弱性(2003.4.14)
https://www.netsecurity.ne.jp/article/1/9590.html


[ Prisoner DAMLAK ]

(詳しくはScan Security Managementをご覧ください)
http://shop.vagabond.co.jp/m-ssm01.shtml


──────────────────────────────〔Info〕──
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×