脆弱性を調べて判明したShockWavePlayerのひどい仕様と対策
ShockWave Player 12.1.2.152のリリースは意味があるのか?
Adobe Shockwave Player の脆弱性放置具合が酷過ぎると話題に…
ShockwavePlayerの例の脆弱性を調べていていろいろ酷い仕様が明らかになったのでまとめました
自動アップデートを無効にする方法(Shockwave Player 10/11)
先生。まず、公式サイトのマニュアル見て大草原回避不能です
まず、こんなの公式サイトのマニュアルに掲載できる神経がわからないよw
次にXtraを自動でインストールできるサイト探してて見つけたのがここ。
Browser plugin information - Update your Adobe Shockwave Xtras
サードパーティーのエクストラの場合。こんな風に表示が出ます。
JVNDB-2012-005744 - JVN iPedia - 脆弱性対策情報データベース
Adobe Shockwave Player には、プラグインモジュールのインストールに関する問題が存在します。
Adobe Shockwave Player は、Shockwave コンテンツを閲覧する際に、必要な Xtra (プラグインモジュール) |
しかし、AdobeやMacromediaの場合本当にでない!
そして、Xtraのダウンロード場所なんですが全部で2つあることが判明!
もともと入ってる場所とあわせると4箇所…。どうしてこうなった?
%appdata%\Adobe\Shockwave Player 12\xtras\download
%appdata%\Macromedia\Shockwave Player\xtras\download
%systemroot%\system32\Adobe\Shockwave 12\Xtras
%systemroot%\system32\Macromed\Shockwave 10\Xtras
前の記事では削除すればいいようなことを書きましたが、削除しても再ダウンロードされることが判明。
ダウンロードしたファイルはブラウザにキャッシュされてるので、一度キャッシュをクリアしないとトレースできません。
ダウンロード時のファイルは FlashAsset.w32
これが解凍されて flash asset.x32になることが解析の結果わかりました
ファイルのヘッダ情報は RIFF / PCK2INFO なんだろうこれ・ω・?
http://download.macromedia.com/pub/shockwave10.4/xtras/FlashAsset.w32
http://fpdownload.macromedia.com/pub/shockwave10.4/xtras/FlashAsset.w32
http://download.macromedia.com/pub/shockwave12.0/xtras/FlashAsset.w32
http://fpdownload.macromedia.com/pub/shockwave12.0/xtras/FlashAsset.w32
ダウンロード先も4箇所あることが判りました…なんていい加減な仕様なんだ…。
%systemroot% のXtrasは再ダウンロードされないので、削除すればOKなのですが
%appdata% ダウンロードをブロックするためには小細工が必要になります。
1.まず、 %appdata%\Macromedia\Shockwave Player\xtras\download\MacromediaInc
を開いて FlashAsset フォルダを消します。
次に新規作成でテキストファイルを作り。 FlashAsset (拡張子なし)にリネームします
2.次に、 %appdata%\Adobe\Shockwave Player 12\xtras\download\AdobeSystemsIncorporated
を開いて 同じようにFlashAsset フォルダを消します。
次に新規作成でテキストファイルを作り。 FlashAsset (拡張子なし)にリネームします
調べてみたところ、4箇所のどこかひとつにでもXtraがあると読み出せてしまうことが判りました…。
なんて恐ろしいものを作ってしまったのでしょう・ω・;
というか、Macromedia買収して何年もたつんだから、そろそろ設定統合してほしいんですが…。
組み込んだ人も早く誰か見つけて直してくれって祈ってたりしてw
組み込んだ人も早く誰か見つけて直してくれって祈ってたりしてw