「Flash Player」にゼロデイ脆弱性、ひと足早く2016年第1号のセキュリティアップデート

　米Adobe Systemsは28日、「Flash Player」のセキュリティアップデートをリリースした。攻撃者にシステムを乗っ取られる可能性のある脆弱性を修正しており、Adobeによれば、限定的な標的型攻撃においてすでに悪用が報告されている脆弱性も含まれているという。同社では、ユーザーに対して最新バージョンへのアップデートを推奨している。

　最新バージョンは、Windows/Mac用のFlash Playerデスクトップランタイムおよび各ブラウザー（Windows/Mac/Linux/Chrome OSのGoogle Chrome、Windows 10のMicrosoft Edge/Internet Explorer 11、Windows 8.1/8のInternet Explorer 11/10）に同梱されているFlash Playerが「20.0.0.267」。Windows/Mac用の延長サポート版が「18.0.0.324」、Linux用が「11.2.202.559」。

　このほか、「Adobe AIR」のデスクトップランタイム、SDKおよびコンパイラなどが「20.0.0.233」にアップデートされている。

　自身のシステムにインストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。

　危険度のレーティングは、4段階中で最も高い“critical”。また、アップデート適用の優先度は、Linux版とAIRを除き、3段階中で最も高い“Priority 1”となっており、システム管理者によって直ちに適用されること（例えば72時間以内）が推奨されている。Linux版とAIRについては“Priority 3”で、システム管理者が判断したタイミングで適用することが推奨されている。

　今回修正された脆弱性は、CVE番号ベースで19件。このうち、整数オーバーフローの脆弱性「CVE-2015-8651」について、限定的な標的型攻撃において悪用されていることが報告されているという。

　なお、Adobeが28日に公開したセキュリティ情報のナンバリングは、2016年の第1号となる「APSB16-01」となっている。