脆弱性を調べて判明したShockWavePlayerのひどい仕様と対策

ShockWave Player 12.1.2.152のリリースは意味があるのか？
Adobe Shockwave Player の脆弱性放置具合が酷過ぎると話題に…

ShockwavePlayerの例の脆弱性を調べていていろいろ酷い仕様が明らかになったのでまとめました

自動アップデートを無効にする方法（Shockwave Player 10/11）

先生。まず、公式サイトのマニュアル見て大草原回避不能です
まず、こんなの公式サイトのマニュアルに掲載できる神経がわからないよｗ

次にXtraを自動でインストールできるサイト探してて見つけたのがここ。
Browser plugin information - Update your Adobe Shockwave Xtras


サードパーティーのエクストラの場合。こんな風に表示が出ます。

JVNDB-2012-005744 - JVN iPedia - 脆弱性対策情報データベース

しかし、AdobeやMacromediaの場合本当にでない！

そして、Xtraのダウンロード場所なんですが全部で２つあることが判明！
もともと入ってる場所とあわせると４箇所…。どうしてこうなった？

%appdata%\Adobe\Shockwave Player 12\xtras\download
%appdata%\Macromedia\Shockwave Player\xtras\download
%systemroot%\system32\Adobe\Shockwave 12\Xtras
%systemroot%\system32\Macromed\Shockwave 10\Xtras

前の記事では削除すればいいようなことを書きましたが、削除しても再ダウンロードされることが判明。
ダウンロードしたファイルはブラウザにキャッシュされてるので、一度キャッシュをクリアしないとトレースできません。
ダウンロード時のファイルは FlashAsset.w32
これが解凍されて flash asset.x32になることが解析の結果わかりました

ファイルのヘッダ情報は RIFF / PCK2INFO  なんだろうこれ・ω・？

http://download.macromedia.com/pub/shockwave10.4/xtras/FlashAsset.w32
http://fpdownload.macromedia.com/pub/shockwave10.4/xtras/FlashAsset.w32
http://download.macromedia.com/pub/shockwave12.0/xtras/FlashAsset.w32
http://fpdownload.macromedia.com/pub/shockwave12.0/xtras/FlashAsset.w32

ダウンロード先も４箇所あることが判りました…なんていい加減な仕様なんだ…。

%systemroot% のXtrasは再ダウンロードされないので、削除すればOKなのですが
%appdata% ダウンロードをブロックするためには小細工が必要になります。

１．まず、 %appdata%\Macromedia\Shockwave Player\xtras\download\MacromediaInc
を開いて FlashAsset フォルダを消します。
次に新規作成でテキストファイルを作り。 FlashAsset （拡張子なし）にリネームします

２．次に、 %appdata%\Adobe\Shockwave Player 12\xtras\download\AdobeSystemsIncorporated
を開いて 同じようにFlashAsset フォルダを消します。
次に新規作成でテキストファイルを作り。 FlashAsset （拡張子なし）にリネームします

調べてみたところ、４箇所のどこかひとつにでもXtraがあると読み出せてしまうことが判りました…。

なんて恐ろしいものを作ってしまったのでしょう・ω・；

というか、Macromedia買収して何年もたつんだから、そろそろ設定統合してほしいんですが…。

トラバ用
Adobe Shockwave Player 12.1.2.152 - 脳脂肪のパクリメモ