ニュース

「Flash Player」が更新されているかどうか確認を、ゼロデイ攻撃発生で月例パッチが年末にリリース済み

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が4日、「Flash Player」の脆弱性に関する注意喚起を出した。対策として、最新バージョンへアップデートするよう呼び掛けている。

 各OS向けのFlash Playerおよび各ブラウザーに同梱されているFlash Playerの最新バージョンと、自身のシステムにインストールされているFlash Playerのバージョンは、Adobe SystemsのFlash Playerについてのページにアクセスすることで確認できる。

Adobe SystemsのFlash Playerについてのページ

 Flash Playerについては2015年12月28日、複数の脆弱性を修正するセキュリティアップデート(パッチ)がリリース済み。JPCERT/CCによると、これらの脆弱性を悪用する細工を施したコンテンツをユーザーに開かせることで、遠隔の第三者がFlash Playerを不正終了させたり、任意のコードを実行させたりする可能性があるという。

 Adobeによれば、このパッチで修正した脆弱性はCVE番号ベースで19件あるが、そのうちの1件「CVE-2015-8651」については、限定的な標的型攻撃においてすでに悪用が報告されているという。

 なお、今回のアップデートについてAdobeが出したセキュリティ情報は「APSB16-01」となっており、本来は2016年に入ってからリリースする予定だったものと思われる。Symantecでは、「月例のアップデートは、毎月の中ごろに公開されるのが普通なので、今回は通常より早い公開でした。同社がパッチの公開を急いだのは、Flash Playerに存在するゼロデイ脆弱性(CVE-2015-8651)が、限定的な標的型攻撃に悪用されていると報じられたため」と指摘している。

(永沢 茂)