Flash Playerの脆弱性を突く攻撃発生、臨時アップデートで対処

脆弱性を突く攻撃の発生が確認されていることから、最優先で対応するよう呼び掛けている。

» 2018年06月08日 09時55分 公開
[鈴木聖子ITmedia]

 米Adobe Systemsは6月7日、Flash Playerの深刻な脆弱性を修正する臨時セキュリティアップデートを公開した。脆弱性を突く攻撃の発生が確認されていることから、最優先で対応するよう呼び掛けている。

 Adobeのセキュリティ情報によると、今回のアップデートでは、「Flash Player 29.0.0.171」までのバージョンに存在する4件の脆弱性を修正した。うち2件については任意のコード実行に利用される恐れがあり、緊急度は同社の3段階評価で最も高い「クリティカル」に指定している。

photo 今回アップデートで修正された4つの脆弱性(出典:Adobe)

 このうちの1件(CVE-2018-5002)は、Windowsを狙った限定的な標的型攻撃に利用されたことが分かっている。Office文書に悪質なFlashコンテンツを仕込んで、電子メールで送信する手口が使われているという。

 脆弱性を修正した最新バージョンの「Flash Player 30.0.0.113」は、Windows、macOS、Linux、Chrome OS向けに公開された。Linux以外では優先度「1」と位置付け、直ちに最新バージョンに更新するよう促している。

 セキュリティ企業ICEBRGによると、今回の未解決の脆弱性を突く攻撃では、中東の組織や個人が狙われたと思われる。Office文書が使われたのは、主要Webブラウザが初期設定でFlash Playerの自動再生を無効にする措置を講じる中で、Officeは今もFlashを含むActiveXコントロールの組み込みをサポートしているためだとICEBRGは分析する。

 Microsoftは2019年1月から、Office 365でFlashとShockwave、Silverlightのコンテンツをブロックすると表明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ