検索
ニュース

Adobe Flash Playerに相次ぎゼロデイ脆弱性発覚今週中にアップデートを準備、それまでは一時的な無効化なども検討を

2015年7月に入り、米アドビ システムズのFlash Playerの深刻なゼロデイ脆弱性が相次いで明らかになった。

Share
Tweet
LINE
Hatena

 2015年7月に入り、米アドビ システムズのFlash Playerに、深刻なゼロデイ脆弱性が複数存在することが相次いで明らかになった。中には、悪用されるとリモートから任意のコードを実行される恐れがあるものも含まれており、セキュリティ組織・企業が注意を呼び掛けている。

 2015年7月13日の時点で、新たに明らかになったゼロデイ脆弱性(CVE-2015-5122/5123、APSA15-04)の影響を受けるのは、

  • Adobe Flash Player 18.0.0.203以前(Windows版ならびにMacintosh版)
  • Adobe Flash Player 18.0.0.204以前(Linux版Google Chrome用)
  • 延長サポート版Adobe Flash Player 13.0.0.302以前(Windows版ならびにMacintosh版)
  • 延長サポート版Adobe Flash Player 11.2.202.481以前(Linux版)

となっている。

 具体的には、Flash PlayerのActionScript 3に、解放済みメモリ使用(use-after-free)の不備に起因する脆弱性がある。悪意あるWebサイトに誘導されるといった形で悪用されると、アクセスしただけでアプリケーションが異常終了したり、攻撃者によってパソコンが制御され、悪意あるソフトウエアをインストールされたり、重要な情報を盗み取られるといった被害につながる恐れがある。

 アドビ システムズでは、米国時間7月12日の週に、この脆弱性を修正するセキュリティアップデートを公開する予定だ。だがそれまでの間は、Adobe Flash Playerを一時的に無効化したり、アンインストールしたりする、あるいはマイクロソフトの「Enhanced Mitigation Experience Toolkit(EMET)を適用するといった緩和策を実施するしかない状態だ。

 一連のゼロデイ脆弱性は、イタリアのセキュリティ企業、Hacking Teamから流出した大量の情報の中に含まれていたことから明らかになった。これに先立つ7月8日には、同じくFlash PlayerのActionScript 3のうち、ByteArrayクラスの解放済みメモリ使用(use-after-free)に不備があるという脆弱性(CVE-2015-5119、APSB15-16)を修正するアップデートが公開されたばかりだった。

 アドビ システムズによると、既にこの脆弱性を悪用するコンセプト実証コードの存在が確認されたという。またトレンドマイクロは、Hacking Teamから情報が流出する前の7月1日の時点で、日本と韓国のユーザーを対象にした、APSB15-16を悪用する攻撃を確認していたという。

 情報処理推進機構(IPA)やソフトバンク・テクノロジーなど複数のセキュリティ企業では、Hacking Teamから流出した情報が一般に入手可能なことを踏まえると危険性は高いとし、パッチが公開されるまでの間、Flash Playerのアンインストールや無効化といった手段を検討するよう、方法を紹介して注意を呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  6. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  7. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  8. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  9. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る