想定される影響
細工された Shockwave コンテンツを閲覧することで、遠隔の第三者が指定した旧バージョンの Xtra をインストールさせられる可能性があります。結果として、遠隔の第三者によって、既知の脆弱性を使用した様々な攻撃を受ける可能性があります。
対策方法
2012年12月19日現在、対策方法はありません。
ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・Shockwave コンテンツへのアクセスを制限する
・Shockwave Player の ActiveX コントロールを無効にする (Internet Explorer のユーザ向け)
・Enhanced Mitigation Experience Toolkit (EMET) を適用する
・Data Execution Prevention (DEP) を有効にする
Vulnerability Note VU#519137 Adobe Shockwave player installs Xtras without prompting
回避策はこっちのほうがわかりやすいか。
Google Chrome / Forefox は、ScriptNo / NoScript を使う。
IE は kill bit 立てるってことね。
使わないからアンインストールしていても、サイトにアクセスすればインストールされちゃう仕様ってなんとかして欲しいわ。
Adobe でツール出してくれないのかな。
追記
Google Chrome はこの表示でタブ閉じてしまえばいいから、ScriptNo はなくても可か。
12/20 追記
Shockwave Playerに脆弱性、米機関が3件のアドバイザリー公開 - ITmedia ニュース
関連
http://d.hatena.ne.jp/noushibou/20121219/1355907765
分けて書くんじゃなかった。 orz