製品・ソフトウェアに関する情報
Vulnerability Search
Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題
Title Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題
Summary

Adobe Shockwave Player には、Shockwave ランタイムのインストールに関する問題が存在します。 Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧した場合、古いバージョンの Shockwave ランタイムが、ユーザに断りなく自動的にインストールされます。 なお、開発者が提供する Director 11 and Shockwave 11 Release White paper (http://www.adobe.com/support/director/ts/documents/kb403195/Director11_Whitepaper.pdf) には、以下のように記載されています。 "When the user launches Shockwave content from a browser, the Shockwave 11 ActiveX control is downloaded to the <%System%>/Adobe/Shockwave 11 folder. If the HTML page does not specify the playerVersion as 11, the Shockwave 10.4.0.025 ActiveX control is downloaded silently, and installed in the <%System%>/Macromed/Shockwave10 folder." "The Shockwave auto-update mechanism installs Shockwave 11 only. The compatibility components of Shockwave 10.4.0.025 player are installed only when the user tries to play old Shockwave content with the compatibility parameter set to 10 or blank."

Possible impacts Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧することで、旧バージョンの Shockwave ランタイムをインストールさせられる可能性があります。結果として、遠隔の第三者によって、既知の脆弱性を使用した様々な攻撃を受ける可能性があります。
Solution

2012年12月19日現在、対策方法はありません。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * Shockwave コンテンツへのアクセスを制限する * Internet Explorer のユーザは Shockwave Player の ActiveX コントロールを無効にする * Enhanced Mitigation Experience Toolkit (EMET) を適用する     (http://support.microsoft.com/kb/2458544) * Data Execution Prevention (DEP) を有効にする     (http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx)
Publication Date Dec. 19, 2012, midnight
Registration Date Dec. 19, 2012, 4:46 p.m.
Last Update Dec. 21, 2012, 3:48 p.m.
CVSS2.0 : 危険
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
Affected System
アドビシステムズ
Adobe Shockwave Player 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2012年12月19日]
  掲載
[2012年12月21日]
  CVSS による深刻度:基本値と脆弱性評価基準を追加
  CWE による脆弱性タイプ一覧:CWE-ID を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2012-6270
Summary

Adobe Shockwave Player through 11.6.8.638 allows remote attackers to trigger installation of a Shockwave Player 10.4.0.025 compatibility feature via a crafted HTML document that references Shockwave content with a certain compatibility parameter, related to a "downgrading" attack.

Publication Date Dec. 20, 2012, 9:02 p.m.
Registration Date Jan. 28, 2021, 3:07 p.m.
Last Update Nov. 21, 2024, 10:45 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:adobe:shockwave_player:8.5.324:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:5.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:4.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.5.635:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.1:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.1.4.020:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.9.615:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.0.626:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.1.601:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.0.0.456:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.6.636:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:*:*:*:*:*:*:*:* 11.6.8.638
cpe:2.3:a:adobe:shockwave_player:6.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.7.637:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.1.629:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.0.204:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.0.196:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.1.105:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.2.0.023:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.1.0.11:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.0.596:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:9.0.383:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:1.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.3.633:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.0.3.471:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.2.0.022:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.0.205:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.9.620:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.1.106:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.8.612:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.321:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.2.602:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.1.100:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:2.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.1.1.016:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.0.0.210:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.10.620:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.0.1.004:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.2.0.021:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.6.606:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.7.609:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:3.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.0.196a:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:10.1.0.011:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:9.0.432:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.1.103:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.323:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:8.5.325:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.5.0.595:*:*:*:*:*:*:*
cpe:2.3:a:adobe:shockwave_player:11.6.4.634:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List