Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Adobe Flash Playerにゼロデイ攻撃が発生 - 2月5日の週に修正予定

「Adobe Flash Player」に深刻な脆弱性が含まれていることが明らかになった。ゼロデイ攻撃が発生しており、Adobe Systemsでは、2月5日の週にアップデートをリリースしたい考えだ。

20180202_as_001.jpg
2月5日の週にアップデートの公開を計画しているAdobe Systems

今回明らかとなった脆弱性「CVE-2018-4878」は、「同28.0.0.137」および以前のバージョンに存在。

解放後のメモリへアクセスするいわゆる「Use-after-free」の脆弱性で、リモートよりコードを実行され、システムの制御を奪われるおそれがある。

すでに同社では、Windowsを対象とした標的型攻撃で悪用されているとの報告を受けている。

確認されている攻撃は「限定的」としているが、Officeドキュメントに悪意ある「Flashコンテンツ」を埋め込まれ、メールで送信されていたという。

今回の問題を受け、同社では2月5日の週に同脆弱性を修正するアップデートをリリースできるよう準備を進めている。また「swfコンテンツ」の再生前にプロンプトを表示させたり、Officeが備える「保護ビュー」を活用するなど、緩和策の実施を呼びかけている。

(Security NEXT - 2018/02/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS月例パッチがリリース、一部でゼロデイ攻撃が発生 - 公開済み脆弱性にも対処
悪用確認済みの「Windowsタスクスケジューラ」脆弱性に修正パッチ - PoC公表から約2週間
MS、月例パッチで脆弱性62件を修正 - 「Windows ALPC」のゼロデイ脆弱性に対応
8月修正のゼロデイ脆弱性、「Darkhotel」と関連 - 背後に北朝鮮の影
「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響
MS、8月の月例パッチ公開 - 脆弱性2件でゼロデイ攻撃
西日本豪雨に便乗する詐欺に注意 - 義援金は信頼できる振込先へ
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
【速報】「Adobe Flash Player」が緊急アップデート - すでにゼロデイ攻撃が発生