Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Adobe Flash Playerにゼロデイ攻撃が発生 - 2月5日の週に修正予定

「Adobe Flash Player」に深刻な脆弱性が含まれていることが明らかになった。ゼロデイ攻撃が発生しており、Adobe Systemsでは、2月5日の週にアップデートをリリースしたい考えだ。

20180202_as_001.jpg
2月5日の週にアップデートの公開を計画しているAdobe Systems

今回明らかとなった脆弱性「CVE-2018-4878」は、「同28.0.0.137」および以前のバージョンに存在。

解放後のメモリへアクセスするいわゆる「Use-after-free」の脆弱性で、リモートよりコードを実行され、システムの制御を奪われるおそれがある。

すでに同社では、Windowsを対象とした標的型攻撃で悪用されているとの報告を受けている。

確認されている攻撃は「限定的」としているが、Officeドキュメントに悪意ある「Flashコンテンツ」を埋め込まれ、メールで送信されていたという。

今回の問題を受け、同社では2月5日の週に同脆弱性を修正するアップデートをリリースできるよう準備を進めている。また「swfコンテンツ」の再生前にプロンプトを表示させたり、Officeが備える「保護ビュー」を活用するなど、緩和策の実施を呼びかけている。

(Security NEXT - 2018/02/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

WP向けプラグイン「Elementor Pro」に深刻な脆弱性 - ゼロデイ攻撃で発覚
インフラ構成管理ツール「SaltStack」に深刻な脆弱性 - 悪用コード公開、早急に対処を
MSが4月の月例パッチ、脆弱性113件を修正 - すでに3件で悪用
「Firefox 74.0.1」が公開、ゼロデイ脆弱性を修正 - 標的型攻撃を確認
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
ゼロデイ脆弱性、攻撃対象は「Windows 7」 - 「Windows 10」への影響は限定的
「Windows」に脆弱性、すでにゼロデイ攻撃も - 回避策などの実施を
MS、月例パッチで脆弱性99件を解消 - ゼロデイ脆弱性も修正
「IE」脆弱性に対するゼロデイ攻撃、国内でも
「Citrix ADC」へのゼロデイ攻撃、国内でも11日より観測