Flash Playerに未解決の脆弱性、攻撃ツールで悪用可能も

[鈴木聖子，ITmedia]

　Flash Playerの未解決の脆弱性が脆弱性悪用ツールの「Angler」に利用されているのが見つかったとして、セキュリティ研究者が自身のブログで報告した。米セキュリティ機関のSANS Internet Storm Centerも1月21日、同ブログを引用して注意を呼び掛けた。

　研究者によると、Flashの脆弱性はAdobeが1月13日に公開したばかりの最新バージョン16.0.0.257も影響を受ける。同バージョンとWindows XP／7／8、Internet Explorer（IE） 6〜10の組み合わせが攻撃の標的になっているという。一方、完全にアップデートされたWindows 8.1と、Google Chromeは安全だとしている。

　Anglerではこの他にも、Flashの既知の脆弱性2件を悪用しているという。

　SANSによれば、Anglerはさまざまな脆弱性を突いて、Webページを表示しただけでユーザーが知らないうちにマルウェアに感染させるドライブバイダウンロード攻撃に頻繁に利用されている。

　「今回の脆弱性は、多数のユーザーにすぐにも影響を与える可能性がある」とSANSは警告。研究者は「当面はFlash Playerを無効にした方がいいかもしれない」と勧告している。

SANSの注意喚起