Adobe Flash Playerに新たな脆弱性が発覚した問題で、米Adobe Systemsは7月23日付でセキュリティ情報を公開し、31日までに脆弱性解決のためのアップデートを公開すると表明した。
Adobeによると、脆弱性が存在するのはFlash Player最新版のバージョン9.0.159.0/10.0.22.87と、Adobe Reader/Acrobat 9.xに組み込まれているコンポーネントの「authplay.dll」。OSはWindows、Macintosh、Linux/UNIXが影響を受ける。悪用された場合、システムを攻撃者に制御されてしまう恐れがある。
この問題を解決するため、Flash Player 9/10のアップデート版(Windows、Macintosh、Linux版)を30日までに、Reader/Acrobatのアップデート版(Windows、Macintosh、UNIX版)を31日までに公開する予定。
この脆弱性をめぐっては、既にゼロデイ攻撃の発生も報告されている。不正なPDFファイルが出回っているほか、正規サイトを改ざんして不正なリンクを仕込み、ユーザーが閲覧しただけでマルウェアに感染させる攻撃も見つかっているという。
Adobeによれば、こうした攻撃を回避するための当面の措置として、ReaderとAcrobatではauthplay.dllファイルの名称を変更するか、同ファイルにアクセスできなくする方法がある。ただしその状態でFlashコンテンツのSWFを含んだPDFファイルを開くと、クラッシュしたりエラーメッセージが表示されるようになる。
Flash Playerでは「信頼できないWebサイトの閲覧に注意する」という以外、Adobeのアドバイザリーには具体的な方法は記載されていない。SANS Internet Storm Centerのアドバイスでは、Firefoxブラウザでスクリプトの実行を防ぐ「NoScript」やFlashのロードを防ぐ「Flashblock」といったアドオンの利用を勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR