【狂気】Adobe Shockwave Player 最新版 12.2.5.195 に1年分のゼロディがある証明をしてみた
Adobe Shockwave Player 12.2.5.195 - 脳脂肪のパクリメモ
Shockwave Player 12.2.5.195 がリリースされました
| SSZ6ABAA3E4_Info_directory: db 'Info.directory',0 Align 4 SSZ6ABAA3F4_NativeCache_directory: db 'NativeCache.directory',0 Align 4 SSZ6ABAA40C_19_0_0_226: db '19.0.0.226',0 Align 4 SSZ6ABAA418_drm__s__s__s_: db 'drm/%s/%s/%s/',0 Align 4 SWC6ABAA428_ShockwaveFlash: unicode 'ShockwaveFlash',0000h Align 4 |
内部を解析してみると Flash Player 19.0.0.226がそのまま使われてる様なのですが
ひょっとすると、バージョンだけ古いままで、中身 22位に上がってる可能性もある!
という仮説を立てて、実際にプログラム内で使われてる文字定数を比較してみました
まず、
| 総数 | 19との共通 | 22との共通 | |
| Shockwave Player Addon (Flash Asset.x32) |
6846 | 6037(88.1%) | 5982(87.3%) |
| Standalone Flash Player 19.0.0.226 (SAFlashPlayer.exe) |
6804 | - | 6618 |
| Standalone Flash Player 22.0.0.209 (SAFlashPlayer.exe) |
7985 | 6618 | - |
試しに、Flash Player 19->22で追加された部分と
Addon->Flash Player 22の変更部分を比較して、みた所
Flash Player のバージョン遷移でのみ追加された独自の文字列はたったの12行。
違いが生じてるのは、ファイル形式によるものだけで中身はほぼ同じものだということが分かりました。
ついでに、マイナーアップデートによるセキュリティ更新でファイルサイズがどのくらい変わるかの比較です
| バージョン遷移 | 旧バージョン | 新バージョン | 差 |
| Flash Asset.x32 12.2.1.171->12.2.5.195 |
12,583KB (2015/10/19) |
12,583KB (2016/9/21) |
ファイルサイズが一致 |
| SAFlashPlayer.exe 18.0.0.255->18.0.0.375 |
12,602KB (2015/10/16) |
12,662KB (2016/8/31) |
60KB |
これ、ほぼ…バージョン書き換えてるだけですね。アホですか?
結論:Shockwave Player に同梱されている Flash Player Addon のバージョンは、内部に記載されているバージョンと全く同じで、セキュリティ更新のバックポートが行われている可能性はほぼ 0%
つまり、Adobe Shockwave Player は、毎回 深刻なゼロディのセキュリティホールがある Flash Player のアドオンを放置している、超危険なソフト。
Adobe Shockwave Player の脆弱性放置具合が酷過ぎると話題に…
ShockWave Player 12.1.2.152のリリースは意味があるのか?
まだまだ危険なAdobe Shockwave Player 12.1.9.159がリリース!
3年近く脆弱性が放置された Shockwave Playerようやくまともな修正が入る
これまでの経緯
2014年頃、2年分のAdobe Flash Addonの脆弱性を放置
2015年7月頃、半年前のAdobe Flash Addonの脆弱性を放置
2015年10月頃 最新のAdobe Flash をAddonにマージ
2016/9まで1年分のAdobe Flash Addonの脆弱性を放置
Translate
Comments