Adobe Shockwave Player バージョン 12.1.0.150 - 取締役平社員ブログ (ベータ版)

いつも通り、普段は無効化、です。必要なときのみ有効化、と。

念のためインストール後、%SYSTEMROOT%\System32\Adobe 以下を確認します。

※ 64bit OS の場合は、%SYSTEMROOT%\SysWOW64 にリダイレクトされてるハズです。

脆弱性情報のページ:

Adobe http://www.adobe.com/support/security/#shockwave
> Security bulletins and advisories

Adobe Security Bulletin http://helpx.adobe.com/security/products/shockwave/apsb14-10.html
> Security update available for Adobe Shockwave Player

※ CVE-2014-0505 。"Priority rating" は "2" 。

ブログ:

Adobe http://blogs.adobe.com/psirt/
> Adobe Product Security Incident Response Team (PSIRT) Blog |
> Working to help protect customers from vulnerabilities in Adobe software.
> Contact us at PSIRT(at)adobe(dot)com.

Adobe http://blogs.adobe.com/psirt/?p=1074
> Security update available for Adobe Shockwave Player (APSB14-10)

ダウンロードサイト:

Adobe http://get.adobe.com/jp/shockwave/
> Adobe Shockwave Player バージョン 12.1.0.150

※ "合計サイズ: 4.76 MB" 。

インストーラの直リンク:

Adobe http://fpdownload.macromedia.com/get/shockwave/default/english/win95nt/latest/Shockwave_Installer_Slim.exe

( VirusTotal 、検出率: 0 / 50 )

アンインストーラとかいろいろ:

Adobe http://www.adobe.com/jp/shockwave/download/alternates/
> Adobe - Adobe Web Player

アンインストーラの直リンク:

Adobe http://fpdownload.macromedia.com/get/shockwave/uninstall/win/sw_uninstaller.exe

( VirusTotal 、検出率: 0 / 50 )

インストーラーのディジタル署名の拇印は、"17 65 f3 94 88 61 f5 45 d8 ec d2 3e 66 2b 7d ce 4e 12 e5 d6" 。

前回と異なり、新しい署名です。 ( 有効期限は、~~"2014/03/02"~~ "2016/01/08" )

※ 署名は、 Flash Player と異なります。

テストはこちら↓です。

Adobe https://www.adobe.com/jp/shockwave/welcome/
> Adobe - Adobe Shockwave Player

(図4)

Adobe Shockwave Player バージョン 12.1.0.150 。
( 画像サイズ 57.28 KB )

(関連)

SANS Internet Storm Center https://isc.sans.edu/diary.html?date=2014-03-13 ~~https://isc.sans.edu/forums/diary/Web+server+logs+containing+RS/17803~~
> InfoSec Handlers Diary Blog - Internet Storm Center Diary 2014-03-13

~~現在のところ、各社未掲載のようです。~~

( 一般社団法人 JPCERT コーディネーションセンターさん、インプレス INTERNET Watch さん、 ITmedia エンタープライズさん、 So-netブログさん、 Secunia Advisories さん。後日、追記の予定。)

出ました。JPCERT さん、インプレスさんはまだですが。 ( 追記@18:50 )

・・・

So-netブログ http://security-t.blog.so-net.ne.jp/2012-12-25
> 「Adobe Shockwave Player」に深刻な脆弱性〜不要ならアンインストールを：セキュリティ通信：So-netブログ

※ 2012年12月記事。

US-CERT http://www.kb.cert.org/vuls/id/323161
> US-CERT Vulnerability Note VU#323161 -
> Adobe Shockwave player provides vulnerable Flash runtime

※ 2012年12月記事。

一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNVU93897900/
> JVNVU#93897900:
> Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題

※ 2012年12月記事。

・・・

http://d.hatena.ne.jp/TsuSUZUKI/20121219/1355928332

※ Adobe Shockwave Player に脆弱性

http://d.hatena.ne.jp/TsuSUZUKI/20140212/1392222814

※ Adobe Shockwave Player バージョン 12.0.9.149

http://d.hatena.ne.jp/TsuSUZUKI/20140311/1394546429

※ Adobe Flash Player バージョン 12.0.0.77

http://d.hatena.ne.jp/TsuSUZUKI/20131201/1385859670

※ Adobe Players Distribution

http://d.hatena.ne.jp/TsuSUZUKI/20131006/1381015098

※ Adobeにサイバー攻撃、顧客情報290万人分抜き取り、製品のソースコードも

~~いじょうです。~~

(追記@18:50)

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1403/14/news043.html
> Adobe、Shockwave Playerの深刻な脆弱性を修正 - ITmedia エンタープライズ

So-netブログ http://security-t.blog.so-net.ne.jp/2014-03-14
> アドビ、深刻な脆弱性を修正した「Shockwave Player 12.0.9.150」公開：セキュリティ通信：So-netブログ

Secunia http://secunia.com/advisories/57277/
> Security Advisory SA57277 - Adobe Shockwave Player Memory Corruption Vulnerability - Secunia

いじょうです。