AdobeがFlash Playerの臨時パッチを公開、なお未解決の脆弱性も

[鈴木聖子，ITmedia]

　米Adobe Systemsは1月22日、Flash Playerの更新版となるバージョン16.0.0.287を公開し、サイバー攻撃に利用されていた1件の脆弱性を修正した。これとは別に、もう1件の異なる脆弱性が未解決のまま残され、こちらも攻撃の発生が伝えられている。

　Adobeによると、22日にリリースした更新版ではメモリリークの脆弱性（CVE-2015-0310）を修正した。旧バージョンのFlashを標的として、この脆弱性を突く攻撃が発生しているという。この脆弱性は最新版のFlash Player 16.0.0.287（WindowsとMac向け）、13.0.0.262（延長サポート版）、11.2.202.438（Linux向け）で修正された。

メモリリークの脆弱性が解決されたが……

　一方で、「16.0.0.287までのバージョンには別の脆弱性が存在していて、こちらも悪用されているとの情報があり、現在調査中」（Adobe）だという。

　これに先立ち1月21日にはセキュリティ研究者が、Flash Playerの未解決の脆弱性が脆弱性悪用ツールの「Angler」に利用されていると報告していた。Adobeが調査している未解決の脆弱性はこれを指すと思われる。

　同セキュリティ研究者によれば、Anglerの攻撃は、Internet Explorer（IE）またはFirefoxとWindows、バージョン16.0.0.287までのFlash Playerの組み合わせに対して通用する。現時点ではBedepなどのマルウェアに感染させる目的でこの脆弱性が悪用されているという。研究者は「当面はFlash Playerを無効にした方がいいかもしれない」と勧告している。