Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Flash Player」がゼロデイ脆弱性を修正 - WindowsとMac狙う攻撃が発生中

Adobe Systemsは、「Adobe Flash Player」のセキュリティアップデートを公開した。「Windows」と「Mac OS X」を狙ったゼロデイ攻撃が発生しており、同社では早急なアップデートを求めている。

今回のアップデートは、脆弱性「CVE-2013-0633」「CVE-2013-0634」へ対処したもの。悪用されると端末の制御が奪われる可能性があり、いずれの脆弱性もすでに攻撃の報告を受けている。

脆弱性「CVE-2013-0633」に対する攻撃は、不正な「Flashコンテンツ」を埋め込んだWordファイルを、メールで送り付ける手口で、Windows上で動作する「ActiveX」バージョンの「Flash Player」を対象としていた。

一方、「CVE-2013-0634」では、同様にメールを悪用したゼロデイ攻撃にくわえ、ウェブ経由の攻撃も発生しているという。

細工された「Flashコンテンツ」を埋め込んだウェブサイトがホストされているもので、Mac OS Xで動作する「Safari」と「FireFox」を攻撃対象としていた。不正なページを閲覧するだけで攻撃を受けるおそれがある。

同社では、WindowsとMacの利用者向けに最新版となる「同11.5.502.149」を提供。Linuxには「同11.2.202.262」を用意した。

さらにAndroidユーザーには、「同11.1.115.37」「同11.1.111.32」を提供する。ただし、Androidに対するAdobe Flash Playerの新規提供は2012年8月に終了しており、従来からの利用者に限られる。

適用優先度を見ると、「Windows」と「Mac OS X」が3段階中もっとも高い「1」にレーティングされており、72時間以内にできるだけ早く適用するよう推奨されている。それ以外のプラットフォームは、適用優先度「3」となっている。

実行中のバージョンは同社サイトから確認でき、最新版についてはFlash Playerダウンロードセンターで提供するほか、Windows向けの「同11.2」以降やMac OS X向けの同「11.3」以降では、アップデート機能を通じても提供する。

(Security NEXT - 2013/02/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
モバイルアプリの脆弱性診断サービス - インテック
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
「Symfony」のフォームコンポーネントに脆弱性 - アップデートがリリース
「Adobe Acrobat/Reader」のアップデート、12月11日にリリース予定
ウェブフィルタリング製品「i-FILTER」に複数脆弱性
Apple、「iOS 12.1.1」をリリース - 脆弱性20件を修正
オムロンの制御機器向けツールパッケージに複数脆弱性
「Chrome 71」がリリース、脆弱性など43件を修正 - 不正広告対策も
再び「Adobe Flash Player」が緊急アップデート - すでに脆弱性の悪用コード流通