ニュース

不正広告の閲覧で自動感染させる攻撃も、「Flash Player」が18件の脆弱性を修正

 米Adobe Systemsは米国時間の5日、「Flash Player」のWindows版・Mac版・Linux版について、複数の脆弱性を修正するセキュリティアップデートをリリースしたと発表した。すでに攻撃に悪用されている“ゼロデイ脆弱性”もあるとし、ユーザーに対して最新バージョンへのアップデートを推奨している。

 最新バージョンは、Windows版・Mac版のFlash Playerデスクトップランタイムと、Google ChromeおよびInternet Explorer(IE)11/10に同梱されているFlash Playerが「16.0.0.305」、Linux版が「11.2.202.442」。このほか、Windows版・Mac版の延長サポート版(Extended Support Release)についても「13.0.0.269」が用意されている。

 Adobeが同日公開したセキュリティ情報(APSB15-04)によると、最新バージョンで修正した脆弱性は「CVE-2015-0313」から「CVE-2015-0330」までの計18件。コードの実行につながるメモリ解放後使用の脆弱性やメモリ破壊、バッファオーバーフローの脆弱性などが含まれる。

 このうちCVE-2015-0313については、WindowsでIEまたはFirefoxを実行している環境をターゲットにしたドライブバイダウンロード攻撃に悪用されていたことがすでに分かっている。

 この脆弱性の報告者の1社であるTrend Microによると、攻撃は動画共有サイト「Dailymotion」で確認。同サイトを訪れたユーザーが、悪用コードを埋め込まれたサイトに誘導され、不正広告が読み込まれて自動的に感染するようになっていたという。ただし、この攻撃は広告プラットフォームから実行されるものであるため、Dailymotionに限定されない可能性があるとして、Trend Microでは注意を呼び掛けていた。

 なお、今回のセキュリティアップデートは、Flash Playerを自動更新に設定しているユーザーに対しては、米国時間の4日より配信を開始しているものだ。インストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。

(永沢 茂)