FlashとReader、Acrobatに未修正の脆弱性、Shockwave Playerは更新版公開

Flash PlayerとReader／Acrobatに深刻な脆弱性が存在する。Adobeは問題修正のための更新版を11月に公開する見通しだ。

[ITmedia]

　米Adobe SystemsのFlash PlayerとReader／Acrobatに未修正の深刻な脆弱性が見つかった。既にこの問題を突いた攻撃も発生しているという。

　同社が10月28日付で出したアドバイザリーによると、Flash PlayerはWindows、Mac、Linux、Solaris向けの10.1.85.3までのバージョンとAndroid向けの10.1.95.2までのバージョンに、Adobe Reader／AcrobatはWindows、Mac、UNIX向けの9.4までのバージョンに組み込まれている「authplay.dll」コンポーネントに、それぞれ深刻な脆弱性が存在する。なお、Reader／Acrobat 8.xおよびAndroid向けのReaderにはこの脆弱性は存在しないという。

　問題を悪用された場合、クラッシュを誘発され、攻撃者にシステムを制御される恐れもある。実際に、現時点でReaderとAcrobatを狙った攻撃の発生が報告されているという。一方、Flash Playerに対する攻撃は今のところ確認されていないとしている。

　US-CERTによれば、攻撃者はPDFファイルやHTML文書、Microsoft Officeの文書など、Flashコンテンツ（SWF）組み込みに対応しているファイルに細工を施してユーザーに参照させることにより、任意のコードを実行できてしまう可能性がある。

　Adobeはこの問題を修正するため更新版の開発を進めている。Flash Player 10の更新版は11月9日までに、ReaderとAcrobatの更新版は11月15日の週にリリースする見通し。

　攻撃回避のための当面の対策としては、ReaderとAcrobatに組み込まれているauthplay.dllの名称を変更するか、authplay.dllにアクセスできないようにする方法を挙げている。ただしこの方法ではFlash（SWF）コンテンツを組み込んだPDFファイルを開くとクラッシュしたり、エラーが出たりするという。

　この問題とは別にAdobeは同日、Adobe Shockwave Playerの更新版となる11.5.9.615を公開し、深刻な脆弱性に対処した。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら