ニュース

Flash Playerのゼロデイ脆弱性を修正、パッチ公開、IE 11/10用も配布開始

 米Adobe Sysetemsは27日、Flash Playerの脆弱性(CVE-2015-0311、CVE-2015-0312)を修正するセキュリティアップデートの提供を開始した。バージョンは、Windows版とMac版が「16.0.0.296」、Linux版が「11.2.202.440」、延長サポートリリース版が「13.0.0.264」。

インストールされているFlash Playerのバージョンは、Adobe SysetemsのFlash Playerについてのページにアクセスすることで表示される

 緊急度は4段階中で最も高い“Critical”とのレーティング。悪用された場合に、不正なネイティブコードが実行される恐れのあるものだという。また、アップデート適用の優先度も、Linux版を除き、3段階中で最高の“Priority 1”となっており、システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されている。

 CVE-2015-0311の脆弱性については、これを悪用する攻撃がすでに報告されているとしており、Adobeではユーザーに対して最新バージョンへのアップデートを推奨している。Windows 8.1以前でInternet Explorer(IE)またはFirefoxを使用している環境を狙ったドライブバイダウンロード攻撃によって、この脆弱性が盛んにつけ込まれているのだという。

 なお、このアップデートは、Flash Playerのデスクトップランタイムの自動アップデートを有効にしているユーザーを対象に、すでに24日から配信を開始していたものだ。今回、Adobeのダウンロードセンターからの手動ダウンロード提供も開始された。

 このほか、Windows/Mac/LinuxのGoogle Chrome用Flash Playerについては、Google Chromeのアップデートによりすでに最新バージョンが配布されている。

 また、Microsoftでも日本時間の28日、Windows 8.1/RT 8.1およびWindows Server 2012 R2などのIE 11と、Windows 8/RTおよびWindows Server 2012のIE10向けに、IE用Flash Playerのセキュリティ更新プログラム「KB3035034」の配布を開始している。

 トレンドマイクロ株式会社の公式ブログでは、CVE-2015-0311を悪用する不正なFlashファイルの検体を入手して解析した結果を報告。今回の脆弱性は、メモリ解放後使用の脆弱性であることが判明したとしている。

(永沢 茂)