Copyright © 2009 Adobe Systems Incorporated. All Rights Reserved.
当Webサイトをご利用のお客様は、利用規約にご同意いただいたものとみなされます。
Search powered by Google™
* 英文のみ
リリース日:2008年6月17日
脆弱性識別番号:APSB08-14
CVE番号:CVE-2008-2640
プラットフォーム:全プラットフォーム
影響を受けるソフトウェアとバージョン:Flex 3.0.1 SDK、Flex Builder 3
Flex 3の履歴管理機能が使用するコードに、クロスサイトスクリプティングに関する潜在的な脆弱性があることが判明しました。デベロッパー自らの監視下にFlex 3で開発した履歴管理機能付きのアプリケーションがある場合は、以下の手順に従ってデプロイ済みのアプリケーションと、開発環境の両方を更新することを推奨します。
アドビでは、履歴管理機能を有効化したアプリケーションを擁するすべてのFlex 3デベロッパーに対して、これらのアプリケーションとFlex 3製品のインストール自体を、以下の手順に従ってアップデートすることを推奨します。
Flex 3(Flex 3 SDK、Flex Builder 3のいずれか)をご利用の方は、これらの製品インストールをFlex 3.0.2 SDKアップデート*で更新してください。
現在、履歴管理機能が有効化されたFlex 3 WebアプリケーションをデプロイしているFlex 3ユーザの方は、historyFrame.htmlファイルのすべてのインスタンスをアップデート版ファイル*で更新してください。Flex 3 SDKのインストレーションに含まれるhistoryFrame.htmlの3つのインスタンスは、次の場所にあります。
{インストールルート}/templates/client-side-detection-with-history/history/historyFrame.html
{インストールルート}/templates/express-installation-with-history/history/historyFrame.html
{インストールルート}/templates/no-player-detection-with-history/history/historyFrame.html
アドビはこの問題を重要な案件と分類し、対象ユーザの皆様が当該製品および必要であれば対象のWebサイトに対して、アップデートを適用することを推奨します。
Flex 3の履歴管理機能が利用するコードに入力検証エラーの恐れがあり、クロスサイトスクリプティング攻撃の対象となり得ることが判明しました。この脆弱性はFlex 3のHistory Managerを使用する(または使用している)場合に限り影響が及ぶものであり、Flex 2のHistory Managerには影響しません。アップデートが必要な関連ファイルは、historyFrame.htmlのすべてのインスタンスです。Flex 3のHistory Managerを利用する既存アプリケーションを管理下にもつデベロッパーおよびサイト管理者の方々には、上記の手順に従って当該サイトアセットを更新版ファイルで置き替えることを推奨します。この脆弱性はリモート攻撃の対象となり得ます。既にFlex 3のHistory Managerをご利用のユーザの方には、Flex 3で作成された当該アプリケーションとインストール済みのFlex 3製品の両方に対し、上記の手順に従ってアップデートを行うことを推奨します。
この脆弱性を指摘し、ユーザのセキュリティ保護に協力してくださったIBM Rational Application Security*のOry Segal氏、Adi Sharabani氏、Ayal Yogev氏に対し、アドビより厚く御礼を申し上げます。
Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。
本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
Copyright © 2009 Adobe Systems Incorporated. All Rights Reserved.
当Webサイトをご利用のお客様は、利用規約にご同意いただいたものとみなされます。
Search powered by Google™
* 英文のみ
