Flash Playerの脆弱性は7月中に解決予定、Adobeが表明
ゼロデイ攻撃が発生しており、AdobeはFlash Playerの更新版を7月30日までに、Reader/Acrobatの更新版を31日までにリリースし、深刻な脆弱性に対処する。
Adobe Flash Playerに新たな脆弱性が発覚した問題で、米Adobe Systemsは7月23日付でセキュリティ情報を公開し、31日までに脆弱性解決のためのアップデートを公開すると表明した。
Adobeによると、脆弱性が存在するのはFlash Player最新版のバージョン9.0.159.0/10.0.22.87と、Adobe Reader/Acrobat 9.xに組み込まれているコンポーネントの「authplay.dll」。OSはWindows、Macintosh、Linux/UNIXが影響を受ける。悪用された場合、システムを攻撃者に制御されてしまう恐れがある。
この問題を解決するため、Flash Player 9/10のアップデート版(Windows、Macintosh、Linux版)を30日までに、Reader/Acrobatのアップデート版(Windows、Macintosh、UNIX版)を31日までに公開する予定。
この脆弱性をめぐっては、既にゼロデイ攻撃の発生も報告されている。不正なPDFファイルが出回っているほか、正規サイトを改ざんして不正なリンクを仕込み、ユーザーが閲覧しただけでマルウェアに感染させる攻撃も見つかっているという。
Adobeによれば、こうした攻撃を回避するための当面の措置として、ReaderとAcrobatではauthplay.dllファイルの名称を変更するか、同ファイルにアクセスできなくする方法がある。ただしその状態でFlashコンテンツのSWFを含んだPDFファイルを開くと、クラッシュしたりエラーメッセージが表示されるようになる。
Flash Playerでは「信頼できないWebサイトの閲覧に注意する」という以外、Adobeのアドバイザリーには具体的な方法は記載されていない。SANS Internet Storm Centerのアドバイスでは、Firefoxブラウザでスクリプトの実行を防ぐ「NoScript」やFlashのロードを防ぐ「Flashblock」といったアドオンの利用を勧めている。
関連記事
- Flash Playerに新たな脆弱性、PDFを使うゼロデイ攻撃が発生
攻撃にはPDFファイルが使われているため、一見するとAdobe Readerの脆弱性に思えるが、実はFlash Playerのコンポーネントに脆弱性が存在するという。 - Adobeが初の定例更新版を公開、ReaderとAcrobatの脆弱性に対処
Adobe ReaderとAcrobatの脆弱性は事前に情報が公開され、不正なPDFファイルを使った悪用コードが出回っていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.