米Adobe Systemsは10月15日にリリースしたFlash Player最新バージョン10.0.12.36で、ユーザーのクリックが乗っ取られる「クリックジャッキング」(clickjacking)の脆弱性に対処した。
Adobeのセキュリティ情報によると、脆弱性が存在するのはAdobe Flash Player 9.0.124.0とそれ以前のバージョン。
クリックジャッキングはC Playerや主要ブラウザに存在する脆弱性で、ユーザーが知らないうちに、意図しないリンクをクリックさせられる恐れがある。Flash Player最新版ではこの問題に対処して、カメラとマイクロフォン機能に関する攻撃防止策を盛り込んだ。
また、クロスドメインポリシーファイルに関する権限昇格の脆弱性や、ポートスキャンの脆弱性、Clipboard APIの脆弱性、FileReferenceアップロード/ダウンロードAPIの脆弱性も修正された。
AdobeはFlash Playerの全ユーザーに対し、バージョン10.0.12.36へのアップグレードを促しているが、アップグレードできないユーザーのために、Flash Player 9の更新版も11月上旬にリリース予定だという。
なお、今回のセキュリティ強化は既存のコンテンツに影響を及ぼす可能性があるため、Adobeは開発者向けの技術情報を併せて公開し、直ちに必要な変更を施すよう勧告している。
関連記事
Adobeがクリック乗っ取りの回避策公開、Firefoxはプラグインで防止
米Adobe Systemsが当面の攻撃回避策を紹介している。Firefox用プラグインのNoScriptは攻撃防止機能を盛り込んだアップデートを公開した。
「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か
ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.