変換したSWFでJSONPを悪用する Rosetta Flash ハック公開。Flash最新版で対策
Google や Twitter、Instagramなどのサイトはすでに自社サイト側で対策済みですが、アカウント乗っ取りやユーザー情報の盗難といった被害を避けるためには、ユーザー側で最新版のFlash プラグイン 14.0.0.145にアップデートする必要があります。
Flash とウェブサイト側のJSONPエンドポイントを組み合わせた手法のため、Google や マイクロソフト、Twitter、Instagram、Tumblr、eBay などはすでに自社サイト側でも対策を施しています。またアドビも Flash Player / AIR のアップデートで対策しました。
未対策のサイトでの被害を防ぐためには、ユーザー側でブラウザの Flash Player を最新版 14.0.0.145以降に更新して対策する必要があります。Chrome や IE 10 / IE 11 などFlashを統合したブラウザの場合は、ブラウザを再起動することで最新版にアップデートされるはずですが、念のため
Adobeのこちらのページでバージョンの確認ができます。
Rosetta Flash のキモは、悪用の可能性を減らすためcallbackに英数字しか返さないJSONPを通すために、本来はバイナリのSWFファイルを無理やり英数字だけに変換して、しかも有効なSWFとして実行できるよう符号化する点。 当然対策すべき大穴を見落としていたというよりは、まさか通れるとは思わなかった通気口からニューっと侵入してきたようなイメージです。詳しい手法についてはリンク先に考案者みずからの解説があります。
なおFlashの最新版では、上記のRosetta Flashを使った攻撃に対する脆弱性修正のほかにも、危険性の高いセキュリティ脆弱性を修正しています。いずれにしろ最新版へのアップデートが必要です。
