Flash Playerに新たな脆弱性、修正版は7月30日までに公開


Adobeによるセキュリティアドバイザリ

 Adobe Systemsは22日、Flash Playerに新たな脆弱性が発見され、脆弱性を悪用した限定的な攻撃も確認されたとして、セキュリティアドバイザリを公開した。脆弱性は最新版のFlash PlayerおよびAdobe Reader/Acrobatに影響があり、AdobeではFlash Playerの修正版を7月30日までに、Adobe Reader/Acrobatの修正版を7月31日までにそれぞれ提供する予定としている。

 脆弱性は、Flash Playerの最新版であるバージョン10.0.22.87/9.0.159.0(およびそれ以前のバージョン)に存在し、Adobe Reader/AcrobatにもFlashに対応するライブラリ(authplay.dll)があることから同様に脆弱性が存在する。現在確認されている攻撃も、特別に細工されたPDFファイルが用いられているが、実際はFlash Playerに起因する脆弱性であることが確認されたという。

 SANS Internet Storm Centerでは、Internet Explorerと最新版のFlash Player 10の環境でテストしたところ、トロイの木馬が警告無しにインストールされてしまうことが確認できたという。また、Symantecでは、Flashは多数のWebブラウザに組み込まれており、PDF文書でも利用できることから、攻撃者は多くのユーザーをターゲットにできると警告している。US-CERTでは、修正パッチが提供されるまでの回避策として、Flash Playerを無効にすることなどを推奨している。

 Adobeでは、現在修正パッチの開発を進めており、7月30日までにはFlash Playerの修正版を、7月31日までにはAdobe Reader/Acrobatの修正版をそれぞれ提供する予定としている。また、Windows Vistaの場合にはユーザーアカウント制御(UAC)を有効にすることが対策になると説明。Adobeではセキュリティ対策ベンダーとも連絡を取っており、ユーザーに対してはウイルス対策ソフトの定義ファイルを最新版に保つことを推奨している。


関連情報

(三柳 英樹)

2009/7/23 12:52