Flex SDKの脆弱性が見つかりました。
多くのFlexアプリケーションはクロスサイトスクリプティング(XSS)攻撃に対して脆弱になります。
パッチを適用してユーザーのデータを保護する必要があります。
下記のWebベースの(AIRベースではない)Flexアプリケーションビルドは脆弱です。
Flex 3.x
(3.0、3.0.1、3.1、3.2、3.3、3.4、3.4.1、3.5、3.5Aおよび3.6を含む)
Flex 4.x
(4.0、4.1、4.5および4.5.1を含む)
Flexアプリケーションビルドは、RSLではなくFlexライブラリの静的リンケージを使用してコンパイルされているため脆弱です
(組み込みフォントの使用を伴う場合を除く)
デフォルトの方法でコンパイルされたほとんどのFlex 4.xアプリケーションは、RSLリンケージを使用するので脆弱ではありません。
Flex 3.0よりも前のリリースを使用するFlexアプリケーションビルドは脆弱ではありません。
AIRベースの(Webベースではない)Flexアプリケーションは脆弱ではありません。
Flexを使用しないで作成されたSWFファイル(Adobe Flash Professionalで作成されたファイルなど)は脆弱ではありません。
解決方法1
下記からSWFパッチツールをダウンロードして実行します。
これによって、SWFに対してパッチが適用されます。
http://kb2.adobe.com/jp/cps/915/cpsid_91544.html
解決方法1
パッチ適用済みSDKへのアップグレードと再構築を行います。
下記よりパッチ適用済みSDKへのリンクからダウンロードできます。
http://kb2.adobe.com/cps/915/cpsid_91544.html
3.6A or 3.5B
http://opensource.adobe.com/wiki/display/flexsdk/Download+Flex+3
4.5.0A or 4.5.1A
http://opensource.adobe.com/wiki/display/flexsdk/Download+Flex+4.5
パッチの適用箇所
mx.modules.ModuleManager
ModuleをロードするためのLoaderContextのsecurityDomainを決定するロジックの修正
mx.modules.ModuleLoader, spark.modules.ModuleLoader
Module.loadの第二引数securityDomainについての修正
trustContentのプロパティ追加