| タイトル | Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題 |
|---|---|
| 概要 | Adobe Shockwave Player には、Shockwave ランタイムのインストールに関する問題が存在します。 Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧した場合、古いバージョンの Shockwave ランタイムが、ユーザに断りなく自動的にインストールされます。 なお、開発者が提供する Director 11 and Shockwave 11 Release White paper (http://www.adobe.com/support/director/ts/documents/kb403195/Director11_Whitepaper.pdf) には、以下のように記載されています。 "When the user launches Shockwave content from a browser, the Shockwave 11 ActiveX control is downloaded to the <%System%>/Adobe/Shockwave 11 folder. If the HTML page does not specify the playerVersion as 11, the Shockwave 10.4.0.025 ActiveX control is downloaded silently, and installed in the <%System%>/Macromed/Shockwave10 folder." "The Shockwave auto-update mechanism installs Shockwave 11 only. The compatibility components of Shockwave 10.4.0.025 player are installed only when the user tries to play old Shockwave content with the compatibility parameter set to 10 or blank." |
| 想定される影響 | Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧することで、旧バージョンの Shockwave ランタイムをインストールさせられる可能性があります。結果として、遠隔の第三者によって、既知の脆弱性を使用した様々な攻撃を受ける可能性があります。 |
| 対策 | 2012年12月19日現在、対策方法はありません。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * Shockwave コンテンツへのアクセスを制限する * Internet Explorer のユーザは Shockwave Player の ActiveX コントロールを無効にする * Enhanced Mitigation Experience Toolkit (EMET) を適用する (http://support.microsoft.com/kb/2458544) * Data Execution Prevention (DEP) を有効にする (http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx) |
| 公表日 | 2012年12月19日0:00 |
| 登録日 | 2012年12月19日16:46 |
| 最終更新日 | 2012年12月21日15:48 |
| CVSS2.0 : 危険 | |
| スコア | 9.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| アドビシステムズ |
| Adobe Shockwave Player |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月19日] 掲載 [2012年12月21日] CVSS による深刻度:基本値と脆弱性評価基準を追加 CWE による脆弱性タイプ一覧:CWE-ID を追加 |
2018年2月17日10:37 |
| 概要 | Adobe Shockwave Player through 11.6.8.638 allows remote attackers to trigger installation of a Shockwave Player 10.4.0.025 compatibility feature via a crafted HTML document that references Shockwave content with a certain compatibility parameter, related to a "downgrading" attack. |
|---|---|
| 公表日 | 2012年12月20日21:02 |
| 登録日 | 2021年1月28日15:07 |
| 最終更新日 | 2024年11月21日10:45 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:adobe:shockwave_player:8.5.324:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.5.635:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.1.4.020:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.9.615:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.0.626:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.1.601:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.0.0.456:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.6.636:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:*:*:*:*:*:*:*:* | 11.6.8.638 | ||||
| cpe:2.3:a:adobe:shockwave_player:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.7.637:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.1.629:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.0.204:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.0.196:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.1.105:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.2.0.023:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.1.0.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.0.596:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:9.0.383:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.3.633:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.0.3.471:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.2.0.022:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.0.205:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.9.620:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.1.106:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.8.612:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.321:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.2.602:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.1.100:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.1.1.016:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.0.0.210:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.10.620:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.0.1.004:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.2.0.021:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.6.606:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.7.609:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.0.196a:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:10.1.0.011:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:9.0.432:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.1.103:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.323:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:8.5.325:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.5.0.595:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:shockwave_player:11.6.4.634:*:*:*:*:*:*:* | |||||