「Flash Player」の脆弱性を修正するアップデート、すでに標的型攻撃の報告

　米Adobe Systemsは15日、「Flash Player」の脆弱性を修正するセキュリティアップデートを公開した。すでに標的型攻撃に悪用されているとの報告があるとしており、ユーザーに対して最新バージョンへのアップデートを推奨している。

　脆弱性を修正した最新バージョンの番号は、Windows/Mac/Linux/Solaris版が「11.1.102.62」、Android 3.x/2.x版が「11.1.111.6」、Android 4.x版が「11.1.115.6」となる。

　また、PC環境などの都合で前バージョンのFlash Player 10.x系列を使い続けているユーザー向けにも、セキュリティ修正を適用したバージョン「10.3.83.14」を用意した。

　このほか、Googleが開発しているウェブブラウザー「Google Chrome」にはFlashが統合されいているが、同ブラウザーの最新バージョン「17.0.963.56」において、Flashも最新バージョンになっている。

　Adobe Systemsでは、今回のアップデートで修正する脆弱性の深刻度を、4段階中で最も高い“Critical”とレーティング。クラッシュを引き起こされ、攻撃者にシステムを乗っ取られる恐れがあるという。

　具体的には、CVE番号ベースで7件の脆弱性が含まれており、メモリ破壊やセキュリティ機能の回避によりコード実行につながる脆弱性と、クロスサイトスクリプティング（XSS）の脆弱性がある。

　標的型攻撃での悪用が確認されているのは、このうちのXSSの脆弱性（CVE-2012-0767）だ。攻撃用サイトへのリンクを記載したメールが送り付けられているという（Windows上のInternet Explorerのみ）。ユーザーがこれをクリックすると、攻撃者がそのユーザーになりすましてサイト上でユーザー設定を変更をしたり、ウェブメールにアクセするなどの恐れがある。