Flash Player 10.1 と AIR 2 から、セキュリティ関連の新しい機能が追加されました。他のドメインから読み込むファイルの種類を制限できる機能です。

セキュリティドメイン

新機能の前に、セキュリティドメインについて確認です。

セキュリティドメインは、Flash Player に読み込んだ SWF ファイルを管理するための機能です。同じセキュリティドメイン内のリソースには自由にアクセスできますが、他のセキュリティドメイン内のリソースには （通常） 勝手にアクセスできないようになっています。

基本的には、SWF ファイルの置かれているサーバーのドメインごとに、セキュリティドメインが作られます。例えば、最初に読み込まれた SWF ファイルと、その SWF ファイルが読み込んだ SWF ファイルが、それぞれ別のサーバーから読み込まれた場合、2 つのセキュリティドメインがつくられます。そして、2 つの SWF ファイルは、それぞれ対応するセキュリティドメイン内に置かれます。

"基本的に" と書いたのは、外部ドメインのファイルを、ファイルを要求した SWF のセキュリティドメインに読み込む手段があるからです。以下の 2 つの API が提供されています。

1 つ目は、LoaderContext.securityDomain 属性に、読み込む側のセキュリティドメインである SecurityDomain.currentDomain を設定してから Loader.load() メソッドを呼ぶ、というものです。これで、外部ドメインのファイルでも、load() を呼んだ SWF と同じセキュリティドメインに読み込まれます。下はそのサンプルです。

var ld:Loader = new Loader();
var lc:LoaderContext = new LoaderContext();
// 読み込む側のセキュリティドメインを指定
lc.securityDomain = SecurityDomain.currentDomain;
// 第2引数にLoaderContextを指定
ld.load(new URLRequest("http://not.my.domain.jp/foo.swf"), lc);
 

かなり遅くなってしまいましたが、Flash Player 10.1 からセキュリティ上の理由で変更された仕様関連の情報です。変更は全部で 4 つあります。

まず、以下の 3 つは、既存のコードに影響が出る可能性のある変更です。

リダイレクトされた URL の切り捨て

1 つ目は、SWF ファイルやイメージを読み込んだ後に、読み込んだファイルの URL がドメイン名までしか見えなくなる、というものです。

この影響を受ける属性は、AS 3 では LoaderInfo.url と Sound.url それから AS 1 / AS 2 では MovieClip._url です。これらの属性値が、例えば、http://sample.jp/xxx/yyy/my.swf のはずなのに http://sample.jp/ になっている、という場合が起こりえます。

この状況が起きるのは、以下の 3 つの条件すべてが揃った場合です。

1. ファイルの読み込み中に HTTP リダイレクトが発生
2. ファイルを要求した SWF のドメインと、読み込まれたファイルのドメインが異なる
3. ファイルを要求した SWF が、読み込まれたファイルへのアクセス許可を持たない

リダイレクトが発生した場合、リダイレクト後のURL 情報を見せない、というのが新しいセキュリティポリシーのようです。

URL 情報が一部隠されているかどうか、を知らせるため、AS 3 には新しい属性が追加されています。LoaderInfo.isURLInaccessible と Sound.isURLInaccessible の 2 つです 。AS 1 / AS 2 には、状況を示す属性の追加はありません。

リダイレクトされて （条件 1 を満たす） 他のドメインからファイルを読み込んだんだけど （条件 2 を満たす） URL が知りたい！というときは、ファイルへのアクセス権を与えます （ 条件 3 を満たさなくなる）。 設定方法は、読み込むファイルのフォーマットによって異なります。

読み込んだファイルが SWF の場合は、読み込まれた SWF が Security.allowDomain （AS 3） または System.security.allowDomain （AS 1 / AS 2） を実行します。これにより、ファイルを要求した SWF にアクセス権を与えます。

読み込むファイルがイメージやサウンドの場合は、サーバー上のポリシーファイルを使ってアクセス許可を設定します。その際、読み込む側の SWF が AS 3 の場合には、LoaderContext.checkPolicyFile や SoundLoaderContext.checkPolicyFile の値を true にして、確実にポリシーファイルが読み込まれているようにするのが良いでしょう。

なお、この変更は AIR 2 のアプリケーションコンテンツには影響しません。Flash Player 10.1 上で実行される全ての SWF ファイルと、AIR 2 の非アプリケーションコンテンツが影響を受けます。

先日報告された脆弱性に対応した Flash Player と AIR に関する報告書が公開されました。（Security update available for Adobe Flash Player） 基本的には、本日公開された Flash Player 10.1 と AIR 2.0.2 にアップデートをするようにということです。

Solaris 版の Flash Player 10.1 はまだ公開されていませんが、Adobe Labs に公開されているプレリリース版を使用することが推奨されています。（Flash Player 10.1 for Solaris）

また、Flash Player 10 のサポートしない環境のために Flash Player 9.0.277.0 も公開されました。（Flash Player 9 for Older Operating Systems）

Flash Professional や Flex などの開発環境でも、Flash Player の更新が推奨されています。デバッグプレーヤーはサポートセンターからダウンロードできます。（Adobe Flash Player Support Center Downloads）

Flash Player の脆弱性関する件についての情報が更新されました。（Security Advisory for Flash Player, Adobe Reader and Acrobat）

新しい情報としては、

• Adobe Labs に公開中の Flash Player 10.1 RC7 には、問題の脆弱性が存在しないことが確認された
• Windows, Macintosh, Linux 向けの Flash Player 10 の更新版が 6 月 10 日に公開予定 （日本時間では 11 日になるかもしれません）
• Solaris 向け Flash Player 10 の更新はまだ公開未定

となっています。

Adobe のセキュリティー広報から、Flash Player, Adobe Reader, Acrobat に関する脆弱性についての情報が公開されました。（Security Advisory for Flash Player, Adobe Reader and Acrobat）

この脆弱性により、クラッシュや攻撃者がシステムのコントロールをできる可能性もあるとのことで、既に攻撃例も見つかっています。

Flash Player に関しては、影響を受けるのは Flash Player 10.0.45.2, 9.0.262 を含め 10.0.x と 9.0.x 全てのバージョンです。Windows 版、Macintosh 版、そして Linux と Solaris 版の全てが対象になります。

現在 Adobe Labs に公開中の Flash Player 10.1 RC7 では、この脆弱性は無い "らしい" ということです。

Adobe Reader と Acrobat については、バージョン 9 のみの問題で、バージョン 8 は大丈夫だそうです。

修正版の公開は決まり次第公開予定になっています。

Flash Player のセキュリティアップデートが公開されました。クロスドメインに関連する脆弱性に対応するためのものです。Flash Player 10.0.42.34 以前および AIR 1.5.3.1920 以前のバージョンを利用している環境では速やかに最新版に更新することが推奨されています。それぞれの最新バージョンは以下の通りです。

Flash Player: 10.0.45.2
Adobe AIR: 1.5.3.1930

Flash Player の場合は Flashコンテンツ上で右クリックして表示されるメニューから 「Adobe （または Macromedia） Flash Player について」 を選択すると、現在インストールされているバージョンを表示する Web ページが表示されます。

AIR のバージョンは以下のディレクトリを確認します。

• Windows: \Program Files\Common Files\Adobe AIR\Versions\x.x の Adobe AIR.dll を右クリック、プロパティを表示して 「バージョン」 タブを選択
• Mac OS X: /Library/Frameworks/AIR.framework/Versions/1.0/Resources/Info.plist ファイルを開き <key>CFBundleVersion</key> に対応するエントリー <string>1.5.x.xxxx</string> を探す
• Linux: /opt/Adobe AIR/Versions/x.x/Resources 内のテキストファイルの記述を参照

ダウンロードはそれぞれ以下のリンクからどうぞ。

Flash Player ダウンロード： http://get.adobe.com/jp/flashplayer/
Adobe AIR ダウンロード： http://get.adobe.com/jp/air/

デバッグプレーヤーやオーサリング環境用は、Flash サポートセンターからダウンロードできます。（Adobe Flash Support Center/Downloads）

Microsoft から Active Template Library (ATL) の臨時パッチがリリースされましたが、この件に関して、Adobe 製品からは Flash Player と Shockwave Player が影響を受けます。どちらも Windows 上で IE のプラグインとして使用する時のみ問題となり、他のブラウザ内や他の OS 上で使う場合は対象外となります。

Flash Player については修正版が 7/30 にリリースされる予定です。Shockwave Player は対応済みのバージョン （11.5.0.601） が既に公開されています。（http://get.adobe.com/shockwave/?loc=jp）

Adobe のセキュリティアドバイザリからは、対応としてまずは MS から提供されるパッチを適用することが推奨されています。手動でダウンロードする場合はこちらのページから。（マイクロソフト セキュリティ情報 MS09-034）

Flash player と Acrobat セキュリティ情報

Flash Player および Acrobat の脆弱性に関する情報が公開されました。対象となるバージョンは、以下の通りです。

• Adobe Reader、 Acrobat のバージョン 9
• Flash Player バージョン 9 または 10

昨日ポストされたセキュリティアドバイザリ （Security advisory for Adobe Reader, Acrobat and Flash Player） によると、Flash Player については 7 月 30 日に （Solaris 版は未定） Adobe Reader および Acrobat については 7 月 31 日に （UNIX 版 Reader は未定） 対応版を公開できるよう修正を進めているとのことです。

上記の記事では、当面の対応として、Windows Vista をご利用の方はユーザーアカウント制御 （UAC） を有効にする、また、ウイルス対策ソフトのベンダーとも情報を共有しているのでウイルス定義ファイルを最新にする、怪しいサイトにはアクセスしない、が推奨されています。

今後、新しい情報については、Adobe Product Security Incident Response Team (PSIRT) blog に公開される予定です。

Linux 版の Flash Player の新バージョンが公開されました。新しいバージョンは 10.0.15.3 です。（http://get.adobe.com/jp/flashplayer/）

セキュリティ上の問題点に対応するため、全ての Linux 版 Flash Player をお使いの方にアップデートをお勧めします。また、本日公開された AIR 1.5 のバッジインストール機能を Linux 上で利用するにも、この最新バージョンが必要になります。

RHEL4 等の Flash Player 10 にアップデートできない環境のためには 9.0.152.0 が提供されています。サポートページから Linux 用のファイルをダウンロードしてお使いください。（最新版 Flash Player をサポートしていないオペレーティングシステム用の Flash Player 9）

Flash Player 9 のアップデート版 （9.0.151.0） が公開されました。これは、クリックジャッキング等のセキュリティ関連の問題に対応したバージョンです。

基本的には Flash Player 10 にアップデートすることをお勧めしています。今回のリリースは、あくまで以下の Flash Player 10 のサポート対象外になるプラットフォームのために行われたものです。

• Microsoft Windows 98
• Microsoft Windows ME
• Macintosh OSX 10.1-10.3
• Red Hat Enterprise Linux 3 - 4

これらの OS をお使いの方は、既知の問題に対応するために、以下のリンクから Flash Player をダウンロードしてください。（Flash Player 9 for Unsupported Operating Systems）

Flash Player 10 のセキュリティ関連の変更に伴う、ファイルアップロード機能に対する仕様変更について、今までの記事で抜けていた点もありますので、ごく簡単にですがまとめておきます。公開後になってしまい申し訳ありません。

大きく、以下の 4 点が変更点です。

• FileReference.browse() はユーザのマウスかキーボードの操作に対するイベントハンドラ内で呼び出す
• FileReference.upload() を呼び出す SWF ファイルとアップロード先のサーバのドメインが異なる場合、サーバ側にポリシーファイルが必要
• FileReference.browse(), FileReference.upload(), FileReference.download(), FileReference.load(), FileReference.save() は同時に複数実行できない
• ファイルアップロードには RFC1867 に定義されたフォーマットが使用される （POST の際 "filename" キーワードが指定されている場合）

RFC1867 の簡単な例が FileReference のドキュメントの最初のほうにあります。（FileReference - ActionScript 3.0 Language and Components Reference）ご参考まで。

ユーザが意図しないリンクをクリックさせられてしまうクリックジャッキングの問題に対する回避策が公開されました。

この問題は 9.0.124.0 以前のほぼ全てのバージョンが対象となります。Flash Player の場合はマイクとカメラへのアクセス許可を表示するダイアログが影響を受けるため、マイクとカメラを使用しない設定にすることでこの問題を回避することができます。

設定変更には以下のリンクをクリックして、"常に拒否..." を選択します。

http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html

（mms.cfg ファイル内の AVHardwareDisable を 0 から 1 に変更するという方法もあります）

このままだとマイクとカメラがまったく使えなくなってしまうので、使いたいサイトは以下のページで個々に "常に許可" として登録します。

http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html

この件に対応した修正版は今月中に公開される予定とのことです。

Flash Player 10 のリリース候補版が Adobe Labs に公開されています。（Flash Player 10@Labs） 何も無ければこのまま公開されるものですので、既存のコンテンツが正しく再生されるか、コンテンツ制作者やサイト管理者のみなさま検証よろしくお願いします。

さて、Flash Player 10 ではいくつかセキュリティ面での変更が行われています。これらは仕様ですので、こちらが原因で動作しなくなった場合にはコンテンツ側を修正することが必要です。以下、 3 + 1 点が変更された項目です。

1. メタポリシーが必須に

昨年公開された 9.0.115.0 からサポートされたメタポリシーファイルが、Flash Player 10 以降では必須になります。ポリシーファイル （crossdomain.xml） をサイトのルート以外に置いている環境では影響を受けます。

Flash Player の脆弱性の件については、最新版で対応済みという見解で落ち着いたようですが、あくまで最新版では修正済みという話ですので、まだ以前のバージョンをお使いの方は速やかにアップデートするようにして下さい。

バージョンの確認： Flash Player 製品ページ

最新版へのアップデート： Flash Playerダウンロードセンター

先日公開された Flash Player 10 ベータでは今回問題になった脆弱性には対応済みとのことです。いちおう。

Flash Player の脆弱性に関する一昨日からニュースの件について Adobe の製品セキュリティチーム blog にアップデートがありました。（Potential Flash Player issue - update）

それによると、今回のアタックは 一部に報道されていたように zero-day アタックではなく、最新のバージョンである Flash Player 9.0.124.0 では再現しないことが Symantec 社により確認されたそうです。ただし、この blog 記事の内容は Adobe からの正式な発表ではありませんので、あくまで経過報告としてお伝えしている旨ご了解ください。

Flash Player 9 のアップデートが公開されました。新しいバージョンは 9.0.124.0 です。先日お知らせしたセキュリティ関連の脆弱性への修正対応が行われています。

あわせて、AIR のアップデートも公開されました。これは Flash Player のアップデートがそのまま適用されたもので、その他の仕様に関する変更点はありません。

ソケットポリシーについて書こうと思っていたら既にちゃんとした記事が公開されていました。

• セキュリティに関するFlash Player 9の変更点
• 緊急情報：2008年４月に行われるFlash Player9のセキュリティアップデートへの対応のお願い

ので、ここではごく簡単に。

ソケットポリシーファイルは Flash Player 7 の時に導入された機能で、XMLSocket や Socket を使った接続要求に対して、サーバ側でアクセス制御を行うための手段として使用されます。

ソケット経由の接続ポリシーに関して Flash Player 9.0.115.0 から変更された主要な点は、１．マスターポリシーファイルの導入、２．メタポリシーのサポート、３．より厳格なソケットポリシーの採用です。9.0.115.0 では、これらを満たしていない環境を警告として扱いますが （デバッグプレーヤだと警告メッセージをログにを出力できます） 来月のアップデート版以降はエラーとして扱うようになります。

とりあえず対処するには、以下のような内容を TCP のポート 843 から返すプログラムをサーバ上で実行します。allow-access-from タグ内の domain と to-ports 属性には実際の環境に合わせて適当な値を設定してください。

<cross-domain-policy>
  <site-control permitted-cross-domain-policies="master-only"/>
  <allow-access-from domain="mysite.com" to-ports="999,3050-3052/>
</cross-domain-policy>
 

さて、以下もう少しだけ詳しい説明です。

メタポリシーは、昨年 12 月に発表された Flash Player セキュリティ関連の変更点のひとつです。 メタポリシーに間しては 4 月のセキュリティアップデートでの変更が行われないため、まだ対応しなくても直ぐに問題になることはありませんが、いずれ必須になることは明言されていますので早めに対応しておいたほうがよいかと思います。

さて、メタポリシーはサイト管理者がポリシーファイルを管理するための手段として提供されています。たとえば、管理者の知らないところで勝手にポリシーファイルを定義してアクセス許可を与えるといった状況を防ぐのに使えます。

メタポリシーはマスターポリシーファイル内に記することができます。マスターポリシーファイルはサイトのルートに置かれたポリシーファイル （/crossdomain.xml） です。マスターポリシーファイル内には今までどおり通常のポリシーも記述することができます。メタポリシーの記述には site-control タグを使用します。下はマスターポリシーファイルの例です。

Flash Player のセキュリティアップデートが来月予定されている旨の情報が US のサイトに公開されました。（Preparing for the Flash Player 9 April 2008 Security Update）

このアップデートは純粋にセキュリティ改善を目的としたもので、新機能は一切ありません。しかし、デフォルトポリシーの変更などが行われるため、既存のコンテンツの中には動かなくなるものが出てくることも予想されます。

今回、事前に情報が公開されたのは、この変更に事前に準備する期間を確保するためです。以下、変更点の概要を説明しますので、影響を受けると思われるコンテンツがある場合は対応をご検討ください。

Flash Player のセキュリティ関連の情報が公開されましたのでご紹介します。

今回の発表に含まれる問題は先日公開された最新版の 9.0.115.0 で対応されており、すみやかにアップデートすることが推奨されています。問題の詳細とオーサリング環境用を含めた Flash Player のダウンロード用リンクが次の文書にまとめられています。（Flash Player update available to address security vulnerabilities） 日本語訳は近いうちに公開予定とのことです。

Flash 8 オーサリング環境用のアップデート方法のテックノートも公開されています。（Upgrading Flash Professional 8 and Flash Basic 8 with the Flash Player 9 Security Release）

Flash Player 9 がサポートしない環境用には Flash Player 7.0.73.0 が公開されています。（Flash Player 7 for Unsupported Operating Systems） このテックノートによると、Flash Player 7 に関しては今回が最後のアップデートのことですので、今後はセキュリティ上の問題点が発見されても対応されないことになります。該当する OS をお使いの方はご注意ください。