ニュース

「Flash Player」の緊急パッチ公開、ゼロデイ脆弱性2件を修正、すでに国内で攻撃活動も

 米Adobe Systemsは14日、「Flash Player」の深刻な脆弱性を修正するセキュリティアップデート(パッチ)をリリースした。ユーザーに対して最新バージョンへのアップデートを推奨している。

 今回公開された最新バージョンは、Windows版・Mac版のデスクトップランタイムが「18.0.0.209」、同じく延長サポート版が「13.0.0.305」。

 Google ChromeのWindows版・Mac版・Linux版およびWindows 8.1/8のInternet Explorer 11/10に同梱されているFlash Playerは「18.0.0.209」。これらのウェブブラウザーの自動アップデートにより、Flash Playerも最新バージョンに更新される。

 Linux版については追って今週中にリリースする予定だとしている。

 なお、インストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。

 最新バージョンでは、解放後使用(use-after-free)の脆弱性「CVE-2015-5122」と、メモリ破壊の脆弱性「CVE-2015-5123」を修正している。いずれも、伊Hacking Teamから流出した機密情報によって脆弱性の存在が発覚したもの。Adobeがパッチをリリースする前から攻撃方法について情報が出回る“ゼロデイ脆弱性”の状況になっていたかたちだ。

 JPCERT/CCによると、細工をされたFlashファイルをウェブブラウザーで開いたり、Flashを組み込んだ文書ファイルなどを開いたりした場合に、任意のコードを実行されるなどの影響を受けるものだという。また、日本国内において、CVE-2015-5122の脆弱性を悪用する攻撃活動が行われていることを確認しているとしている。

 Adobeでは、修正した脆弱性の危険度について、4段階中で最も高い“クリティカル”とレーティング。また、アップデート適用の優先度も、3段階中で最も高い“優先度1”とレーティング。この優先度は、直ちに適用されること(例えば72時間以内)が推奨されているものだ。

 Flash Playerについては今月に入り、同じくHacking Teamから流出した機密情報によってゼロデイ脆弱性「CVE-2015-5119」が発覚。この脆弱性の修正を含むパッチを先週8日にリリースしたばかり。

(永沢 茂)