Macromedia Flash Player不正メモリアクセス脆弱性 原版: Macromedia Flash Player Improper Memory Access Vulnerability (添付) リリース日: November 4, 2005 報告日: June 27, 2005 パッチ開発期間: 130日 リスクレベル: 高 (リモートコード実行) ベンダ: Macromedia 対象システム: Macromedia Flash 6 (全Windows環境) Macromedia Flash 7 (全Windows環境) eEye ID#: EEYEB-20050627B OSVDB ID#: 18825 CVE #: CAN-2005-2628 概要: eEye Digital Securityは、Macromedia Flash Player 6及び7に脆弱性があるこ とを発見しました。攻撃者は本脆弱性を利用して、ログインユーザの権限にて、 任意のコードを実行することが可能です。悪意のあるSWFファイルにて、配列の 境界条件違反を引き起こす事が可能であり、攻撃者が提供するデータへ実行をリ ダイレクトされる可能性があります。 詳細情報: 本脆弱性は、SWFファイル再生に利用されるFlash.ocxに含まれます。Flash.ocx には、関数ポインタが格納されるスタック上に設置された大きいテーブルを管理 する関数があり、そのテーブルは256の要素で構成されます。本関数はSWFファイ ルからフレームタイプ識別子をインデックスとして配列に読み込みますが、その 際に配列の境界条件を適切にチェックせずに読み込みます。 該当箇所の逆アセンブルコード: .text:1002714F mov eax, [esi+0CA4h] ; タイプ番号 .text:10027155 mov ecx, [esi+94h] ; テーブルの先頭 .text:1002715B lea eax, [ecx+eax*8] ; 要素のアドレスを取得 .text:1002715E mov ecx, [eax] ; インデックスは検査されないものの、その値は他の箇所で0x8000以内に制限され ています。攻撃者は、スタック上のテーブルの先頭から約64KBまでの任意のアド レスから関数ポインタを取得させることが可能です。通常この範囲にはヒープメ モリが含まれます。ヒープメモリ上に特定のデータを格納する事で、攻撃者は関 数ポインタの値を正確に制御できるようになります。Internet Explorer上で、 本脆弱性を利用した信頼性の高いexploitが可能であることが、eEye Digital Securityにて実証されています。 対応ソフトウェア情報: Retina - ネットワーク脆弱性スキャナ Blink - エンドポイント脆弱性保護 ベンダ対応状況: Macromedia社は本問題について、下記セキュリティブレティンにて解説しており ます; http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html クレジット: 発見者: Fang Xing (eEye Digital Security) 翻訳: 高橋 晶子 (住商情報システム株式会社) 関連情報: Retina Network Security Scanner - 日本語版評価版 - https://sec.sse.co.jp/eeye/freedl.html Blink Endpoint Vulnerability Prevention - 英語版評価版 - http://www.eeye.com/html/products/blink/download/index.html eEye Advisories 邦訳版 - http://www.sse.co.jp/eeye/advisories.html eEye Advisories (原文) - http://www.eeye.com/html/research/index.html 本Advisoryは、住商情報システム株式会社(SCS)が、eEye Digital Securityの 許可を得た上で翻訳しております。 SCSは本和訳が正確な情報になるよう努めさせて頂きます。しかしながら、正確 性、完全性、信頼性、安全性等に関して、いかなる責任も負わないことと致しま す。 Copyright (c) 1998-2005 eEye Digital Security Permission is hereby granted for the redistribution of this alert electronically. It is not to be edited in any way without express consent of eEye. If you wish to reprint the whole or any part of this alert in any other medium excluding electronic medium, please email alert@xxxxxxxx for permission. Disclaimer The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are no warranties, implied or express, with regard to this information. In no event shall the author be liable for any direct or indirect damages whatsoever arising out of or in connection with the use or spread of this information. Any use of this information is at the user's own risk. ※10月1日より、部署名が変更となりました。 ---------------------------------------- 高橋 晶子 <takahashi.akiko@xxxxxxxxx> 住商情報システム株式会社 セキュリティソリューション事業部 セキュリティソリューション第4部 〒104-8610 東京都中央区晴海1-8-12 TEL (03)5166-1764 | FAX (03)5166-1619
Attachment:
AD20041104_e.txt
Description: Binary data