ニュース

「Flash Player」にゼロデイ脆弱性、セキュリティアップデートを緊急公開

「Flash Player」にゼロデイ脆弱性、セキュリティアップデートを緊急公開

 Adobe Systemsは、「Adobe Flash Player」に関する脆弱性の情報「APSB17-32」を公開し、脆弱性を修正するセキュリティアップデートをリリースした。この脆弱性を悪用したWindows環境のユーザーに対する標的型攻撃がすでに発生しているという。Adobeでは、ユーザーに対してアップデートを適用して最新バージョン「27.0.0.170」に更新するよう推奨している。

 修正した脆弱性は、Type Confusion(型の混同)の脆弱性「CVE-2017-11292」で、危険度が3段階で最も高い“Critical”にレーティングされている。JPCERT/CCによると、脆弱性を悪用したコンテンツをユーザーが開いた場合、リモートから任意のコードを実行される恐れがある。

 Kaspersky Labが10月10日、この脆弱性を悪用した攻撃を確認。Adobe Systemsに報告し、今回のアップデートの緊急公開に至った。Kaspersky Labによると、このゼロデイ攻撃は、CVE-2017-11292を攻撃するActiveXオブジェクトを埋め込んだWordファイルをメールで送りつけ、Microsoft Officeドキュメントを介してマルウェア「FinFisher」に感染させるものだったという。なお、攻撃が観測された地域に日本は含まれていないとしている。

 アップデートの適用優先度は、Windows/Mac版デスクトップランタイムやGoogle Chrome/Microsoft Edge/Internet Explorerに同梱のFlash Playerが3段階中で最も高い“Priority 1”。システム管理者によって直ちに適用されることが推奨されている。Linux版デスクトップランタイムは“Priority 3”で、システム管理者が判断したタイミングでの適用が推奨されている。