ニュース

今日アップデートしたFlash Playerにはまだ別のゼロデイ脆弱性が、パッチを来週提供予定

WindowsのIE/Firefox狙うドライブバイダウンロード攻撃で悪用

 米Adobe Sysetemsは22日、Flash Playerに見つかった脆弱性(CVE-2015-0310)についてのセキュリティアップデートおよびセキュリティ情報(APSB15-02)を公開した。ユーザーに対して、最新バージョンへのアップデートを推奨している。

 最新バージョンは、Windows版とMac版が「16.0.0.287」、Linux版が「11.2.202.438」、延長サポート版が「13.0.0.262」。Flash Playerを内蔵しているGoogle ChromeとWindows 8以降のInternet Explorer(IE)については、自動的に「16.0.0.287」にアップデートされる。

 この脆弱性は、Windows環境において、セキュリティ対策機能であるメモリランダマイゼーションを回避される可能性があるというもの。Adobeによると、Flash Playerの古いバージョンを狙った攻撃に悪用されていることを確認しているとしている。

 Flash Playerについては22日、これとは別の脆弱性(CVE-2015-0311)について、Adobe Sysetemsがセキュリティアドバイザリ(APSA15-01)を公開している。前述のAPSB15-02のアップデートを適用した最新バージョンにも影響する深刻なものだという。

 この脆弱性は、Flash PlayerのWindows版、Mac版、Linux版に存在。これを突かれると、システムがクラッシュしたり、攻撃者に乗っ取られる可能性がある。Adobeによれば、Windows 8以前でIEとFirefoxを使用している環境を狙ったドライブバイダウンロード攻撃に悪用されていることを、すでに確認済みだという。

 Adobeでは、この脆弱性に対するセキュリティ修正パッチを、1月26日の週内に提供する予定だとしている。

【追記 2015/1/27 15:40】
 Adobeは24日、CVE-2015-0311を修正するセキュリティアップデートの提供を開始したと発表した。バージョンは「16.0.0.296」。まずは同日より、Flash Playerのデスクトップランタイムの自動アップデートを有効にしているユーザーを対象に配信を開始した。

 追って、手動ダウンロード向けの提供も1月26日の週内に開始する予定。また、Flash Playerを内蔵するGoogle ChromeおよびInternet Explorer(IE)10/11についても、ディストリビューションパートナーと連携してアップデートできるようにするとしている。

 この脆弱性については、Windows 8.1以前でIEとFirefoxを使用している環境を狙ったドライブバイダウンロード攻撃に悪用されているという。Adobeのセキュリティアドバイザリでは当初「Windos 8以前」としていたが、Windows 8.1も影響を受けるとの報告があったことを受け、セキュリティアドバイザリを更新した。

【追記 2015/1/27 17:35】
 Google ChromeのFlash Playerおいても、バージョン「16.0.0.296」へのアップデートが行なわれた。

 また、アドビシステムズ株式会社のサポート担当Twitterアカウント(@AdobeSupportJ)によると、手動ダウンロードによるアップデート提供は日本時間の1月28日に開始予定。

(永沢 茂)