今月の Flex 関連の情報のまとめです。
まず、Flex 3 から Flex 4.5 まで全てのバージョンに影響するセキュリティ問題の件です。
(最新の Flex 4.6 は対応済みです。Flash Builder 4.6 に含まれる Flex 3.6A SDK も対応済みです)
XSS 関連の問題なので、AIR アプリは対象外です。また、Flex 4.x SDK で、RSL を使って Flex フレームワークをリンクしている場合も、ごく一部の例外を除き影響を受けません。
直ぐにこの問題に対応できるよう、AIR ベースのパッチツールが提供されています。 (APSB11_25_Patch_Tool.air: Win と Mac 上で実行可能)
パッチツールを起動してから、SWF ファイルを指定すると、問題のあるバイトコードを置き換えてくれます。また、SWF に脆弱性が含まれているかを確認する目的でも利用できます。
ただし、Flex SDK に含まれるコンパイラ以外のツールを使用して生成された SWF には、この方法は有効ではありません。
脆弱性の存在が確認された場合は、SDK の置き換えが推奨されています。Flex 3.0 から Flex 4.5.1 まで、全てのバージョンに対応版が提供されます。 (3.0A, 3.0.1A, 3.1A, 3.2A, 3.3A, 3.4A, 3.4.1A, 3.5B, 3.6A, 4.0A, 4.1A, 4.5A, 4.5.1A)
Flex 3.x SDK には、Charts、AdvancedDataGrid 等が含まれない点にはご注意ください。これらは、インストール済みの SDK から新しい SDK にコピーが必要です。
また、Flash Builder (Flex Builder) ユーザには、SDK を変える前に、既存のワークスペースのバックアップが推奨されています。
この修正により、別ドメインからモジュールを読み込む際に、trustContent や SecurityDomain を指定していないアプリケーションは、修正が必要になる場合があります。
その他詳しくは、こちらのサポート文書をご覧ください。 (Flexのセキュリティ問題(APSB11-25))
Flex のオープンソース化の状況
Apache に Flex SDK を提供する件については、アドビの法務部門の確認が完了し、年内に Apache 提案書を提出できる見通し、BlazeDS はまだ法務の確認中のため、新年に提案書を提出見込みとなっています。
また、オープンソースプロジェクトへのコミッターの募集が行われ、2 日間で 12 名の枠に対して 65 名の応募があったそうです。もしかして、オープンソース化後のほうが開発者が多いという事態になるかもです。
来年早々から、全世界の Flex ユーザグループを訪問して回る予定とのこと。日本にも来てくれることを期待しましょう。
コメントする