10周年のSPコンテンツ!
0
yousukezan @yousukezan
えっとIPAから複数の Adobe 製品のヘルプページにおけるクロスサイトスクリプティングの脆弱性(jvn.jp/jp/JVN84376800/)が公開されたので、ちょっとこれについて書きます。報告したのは2012年の11月なのでおよそ2年前ですね。
yousukezan @yousukezan
影響を受けるシステムですが、Adobe Acrobat 9.5.2 およびそれ以前とColdFusion 8.0.1 およびそれ以前、となっていますが、実際手元で確認したのがこの2つだけで実際はこの同時期に流通していたAdobeのかなりの種類のアプリが該当するはずです。
yousukezan @yousukezan
具体的にはInDesign5とかイラレ8とかFlash10とかそのあたりです。脆弱性があると思っている理由は、過去Adobeのサイトにそれらのヘルプファイルが置かれていたのですが、そこに脆弱性が存在していたので同じ製品版にもあると思っているからです。
yousukezan @yousukezan
で、XSSの詳細について書こうと思ったのですが、ちょっと参照してみると、詳細は差し控えます。まだ脆弱性のあるページがAdobe.comにあったからです。
yousukezan @yousukezan
またColdFusionのサポートを見てもアップデートが出ている様子もなく、JVNのAdobeからの情報によるとThis issue is no longer reproducible in currently supported products.とのことです。
yousukezan @yousukezan
なので、サポート外で放置なのかもしれません。とりあえずこのへんの古いバージョンのAdobeのアプリを使ってる人はfile:// の変なリンクをクリックしない方がいいと思います。あと書き忘れていましたがWindows版のみでMac版は大丈夫だと思います。

コメント

コメントがまだありません。感想を最初に伝えてみませんか?

ログインして広告を非表示にする
ログインして広告を非表示にする