General TechNote
一部のマクロメディア製品において、ユーザー権限を変更できてしまう脆弱性について
問題
一部のWindows 版マクロメディア製品をインストールした場合、弊社製品のライセンス認証を行うためのサービスが同時に組み込まれます。標準の状態では、このライセンス認証サービスの設定項目に関して、インストールを行ったユーザーだけではなく、インストールしたコンピュータの「ローカル ユーザー グループ」に所属する他のユーザーによっても変更ができるようになっています。また、このサービスの機能を利用することで、インストール先のローカル ユーザーなどにより、コンピュータの管理者権限を利用できてしまう可能性があります。
この脆弱性を利用して、弊社該当製品をインストールされたコンピュータが、他のコンピュータからリモート操作されることはありません。 1台のコンピュータを一人のユーザーだけが利用している場合は、この脆弱性の影響を受ける事はありません。しかし、1台のコンピュータを複数のユーザーで共用している場合は、この脆弱性の影響を受ける可能性があります。
回避策
次の [影響のあるソフトウェア] に記されたバージョンの弊社製品をご使用のお客様は、弊社ウェブサイトより Hotfix(修正モジュール) をダウンロードすることが出来ます。 なお、今後発表される弊社製品では、この問題は発生しません。
影響のあるソフトウェア
MX 2004製品
- Studio
- Studio with Flash Professional
- Flash Professional
- Flash
- FreeHand
- Dreamweaver
- Fireworks
- Director
その他の製品
- Captivate
- Contribute 2
- Contribute 3
ダウンロード
弊社ではこの問題を回避する為に、複数ユーザーで共用しているコンピュータの管理者の方に、次の Hotfix をダウンロードし、適用されることをお勧めいたします。
Download Hotfix Updater (EXE, 1.2 MB)
詳細
前項 [影響のあるソフトウェア] に述べた、Windows 版マクロメディア製品をインストールすると、インストーラは “Macromedia Licensing Service” というサービスをローカル システム サービスとしてインストールします。 このサービスのアクセス コントロール リスト(ACL) には、「“<マシン名>\Users”グループのメンバーであれば、同サービスの設定項目を変更できる」ように権限が設定されています。 この設定項目の1つに [実行ファイルのパス] という項目があり、同項目では「サービス起動時に起動するプログラム」が指定されています。 何らかの理由により、もしもこの [実行ファイルのパス] の既定値が、他の実行形式ファイルやコマンドに置き換えられた場合、ユーザーは、任意のコードをコンピュータの管理者権限(<マシン名>\SYSTEMアカウント) を用いて実行してしまう可能性があります。
| 最終更新日: | 2005年6月16日 |
|---|---|
| 作成日: | 2005年6月16日 |
| ID: | gn0037 |
|---|---|
| Product: | 一般 |
| Versions: | MX2004 |
| OS: | Win |
| Browser: | N/A |
| Server: | N/A |
| Database: | N/A |
| Former ID: | N/A |
