ニュース

Flash Playerがゼロデイ脆弱性を修正、WindowsとMac狙う標的型攻撃で悪用

 米Adobe Systemsは7日、「Flash Player」の深刻な脆弱性を修正するセキュリティアップデートを公開した。細工したコンテンツをユーザーに開かせることで、遠隔の第三者がFlash Playerを不正終了させたり、任意のコードを実行させることも可能な脆弱性だという。これを悪用した標的型攻撃がすでに確認されているとしており、ユーザーにアップデートするよう推奨している。

 脆弱性の影響を受けるのは、Windows版/Mac版がバージョン「11.5.502.146」以前、Linux版が「11.2.202.261」以前、Android 4.x版が「11.1.115.36」以前、Android 3.x/2.x版が「11.1.111.31」以前。

 今回公開された最新バージョンは、Windows版/Mac版が「11.5.502.149」、Linux版が「11.2.202.262」、Android 4.x版が「11.1.115.37」、Android 3.x/2.x版が「11.1.111.32」。

 このほかFlash Playerを統合しているウェブブラウザーにおいては、Windows版/Mac版/Linux版のGoogle Chromeと、Windows 8のInternet Explorer 10において、それぞれ最新バージョンに自動的にアップデートされるのと同時に、Flash Playerもそれぞれバージョン「11.5.31.139」と「11.3.379.14」へアップデートされるとしている。

 今回修正した脆弱性は、「CVE-2013-0633」「CVE-2013-0634」の2件。Adobeによれば、メール添付のMicrosoft Wordファイルをユーザーに開かせることで、そのファイルに埋め込んだ悪意のあるFlashコンテンツ(.swf)を介してCVE-2013-0633の脆弱性を悪用する標的型攻撃が報告されている。Windows版Flash PlayerのActive Xバージョンが使用されるという。

 一方、については、Mac版のFirefoxとSafariにおけるFlash Playerをターゲットとして、ウェブサイト上にホスティングした悪意のあるFlashコンテンツ(.swf)を使って、この脆弱性が悪用されている事例が報告されているという。また、CVE-2013-0634を悪用して、メール添付ファイルとして送信したMicrosoft Word内に埋め込まれたFlashコンテンツによる攻撃も、Macを標的として行われているとの報告があるとしている。

 最新バージョンで修正した脆弱性の危険度のレーティングは、4段階中で最も高い“Critical”。また、アップデートを適用する優先度は、WindowsとMacにおいて、3段階中で最も高い“Priority 1”としている。

 優先度“Priority 1”のアップデートとは、「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を修正するもの。「直ちに(例えば72時間以内)適用すること」を推奨している。

(永沢 茂)