「Flash Player」の脆弱性を修正するアップデート、すでに標的型攻撃の報告


 米Adobe Systemsは15日、「Flash Player」の脆弱性を修正するセキュリティアップデートを公開した。すでに標的型攻撃に悪用されているとの報告があるとしており、ユーザーに対して最新バージョンへのアップデートを推奨している。

 脆弱性を修正した最新バージョンの番号は、Windows/Mac/Linux/Solaris版が「11.1.102.62」、Android 3.x/2.x版が「11.1.111.6」、Android 4.x版が「11.1.115.6」となる。

 また、PC環境などの都合で前バージョンのFlash Player 10.x系列を使い続けているユーザー向けにも、セキュリティ修正を適用したバージョン「10.3.83.14」を用意した。

 このほか、Googleが開発しているウェブブラウザー「Google Chrome」にはFlashが統合されいているが、同ブラウザーの最新バージョン「17.0.963.56」において、Flashも最新バージョンになっている。

 Adobe Systemsでは、今回のアップデートで修正する脆弱性の深刻度を、4段階中で最も高い“Critical”とレーティング。クラッシュを引き起こされ、攻撃者にシステムを乗っ取られる恐れがあるという。

 具体的には、CVE番号ベースで7件の脆弱性が含まれており、メモリ破壊やセキュリティ機能の回避によりコード実行につながる脆弱性と、クロスサイトスクリプティング(XSS)の脆弱性がある。

 標的型攻撃での悪用が確認されているのは、このうちのXSSの脆弱性(CVE-2012-0767)だ。攻撃用サイトへのリンクを記載したメールが送り付けられているという(Windows上のInternet Explorerのみ)。ユーザーがこれをクリックすると、攻撃者がそのユーザーになりすましてサイト上でユーザー設定を変更をしたり、ウェブメールにアクセするなどの恐れがある。


関連情報


(永沢 茂)

2012/2/16 14:01