ニュース

Flashにゼロデイ脆弱性、Adobeがアップデートを緊急公開

 米Adobe Systemsは26日、「Flash Player」のセキュリティアップデートをリリースした。すでに脆弱性を突いた攻撃コードが出回っているとして、Adobeでは、ユーザーに対して最新バージョンへのアップデートを推奨している。また、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)でも、修正プログラムを適用することを推奨している。

 今回リリースされた最新バージョンは、Windows/Mac OS用のFlash Playerデスクトップランタイムと、各ブラウザー(Windows/Mac OS/Linux/Chrome OSのGoogle Chrome、Windows 10/8.1のInternet Explorer 11/Microsoft Edge)に同梱されているFlash Playerが「23.0.0.205」。Linux用が「11.2.202.643」。

 自身のシステムにインストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。なお、複数のブラウザーがインストールされているシステムでは、それぞれのブラウザーで確認する必要がある。

 今回のアップデートで修正された脆弱性「CVE-2016-7855」は、解放済みメモリ使用(Use-after-free)の問題により、ウェブを閲覧することでDoS攻撃や任意のコードを実行される可能性があるもの。

 危険度のレーティングは、4段階中で最も高い“critical”。アップデート適用の優先度は、Linux用を除き、3段階中で最も高い“Priority 1”となっており、システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されている。Linux用については“Priority 3”で、システム管理者が判断したタイミングでの適用が推奨されている。