Flash Playerのゼロデイ脆弱性を修正、パッチ公開、IE 11/10用も配布開始

　米Adobe Sysetemsは27日、Flash Playerの脆弱性（CVE-2015-0311、CVE-2015-0312）を修正するセキュリティアップデートの提供を開始した。バージョンは、Windows版とMac版が「16.0.0.296」、Linux版が「11.2.202.440」、延長サポートリリース版が「13.0.0.264」。

インストールされているFlash Playerのバージョンは、Adobe SysetemsのFlash Playerについてのページにアクセスすることで表示される

　緊急度は4段階中で最も高い“Critical”とのレーティング。悪用された場合に、不正なネイティブコードが実行される恐れのあるものだという。また、アップデート適用の優先度も、Linux版を除き、3段階中で最高の“Priority 1”となっており、システム管理者によって直ちに適用されること（例えば72時間以内）が推奨されている。

　CVE-2015-0311の脆弱性については、これを悪用する攻撃がすでに報告されているとしており、Adobeではユーザーに対して最新バージョンへのアップデートを推奨している。Windows 8.1以前でInternet Explorer（IE）またはFirefoxを使用している環境を狙ったドライブバイダウンロード攻撃によって、この脆弱性が盛んにつけ込まれているのだという。

　なお、このアップデートは、Flash Playerのデスクトップランタイムの自動アップデートを有効にしているユーザーを対象に、すでに24日から配信を開始していたものだ。今回、Adobeのダウンロードセンターからの手動ダウンロード提供も開始された。

　このほか、Windows/Mac/LinuxのGoogle Chrome用Flash Playerについては、Google Chromeのアップデートによりすでに最新バージョンが配布されている。

　また、Microsoftでも日本時間の28日、Windows 8.1/RT 8.1およびWindows Server 2012 R2などのIE 11と、Windows 8/RTおよびWindows Server 2012のIE10向けに、IE用Flash Playerのセキュリティ更新プログラム「KB3035034」の配布を開始している。

　トレンドマイクロ株式会社の公式ブログでは、CVE-2015-0311を悪用する不正なFlashファイルの検体を入手して解析した結果を報告。今回の脆弱性は、メモリ解放後使用の脆弱性であることが判明したとしている。