「iPhone 5」便乗などFlash脆弱性に対する攻撃が猛威 - ウェブ経由の攻撃にも注意を

「Adobe Flash Player」に存在する既知の脆弱性「CVE-2012-1535」を狙った攻撃が発生している。こうした状況を受け、セキュリティベンダー各社は早急なアップデートを呼びかけている。

悪用が確認されている脆弱性「CVE-2012-1535」は、Adobe Systemsが、8月14日に公開したアップデートで対処した脆弱性。公開以前よりゼロデイ攻撃が発生しており、Trend MicroやSymantecなど各社が攻撃手法について詳細を明らかにしている。

Symantecが報告を受けたのは、9月発売のうわさがささやかれるスマートフォン「iPhone 5」の流出情報を装った攻撃。スパムに添付した不正な「Wordファイル」を開かせる手口だった。

メールの本文は、インターネット上のニュースを転用して作成したと見られる内容で、添付された「docファイル」には、悪質な「swfファイル」が埋め込まれており、誤って開くと多数ファイルをダウンロードし、マルウェアに感染する。

これまで「Wordファイル」をメールで送り付ける攻撃に関する報告が目立っているが、脆弱性について分析し、検証を実施したNTTデータ先端技術によれば、細工したウェブページへ誘導し、リモートでコードを実行する攻撃も可能だという。

セキュリティベンダー各社は、早急に脆弱性を対応するよう呼びかけている。またAdobe Systemsでは、8月21日に深刻な脆弱性を修正する別のアップデートを公開しており、14日以降に対策を講じたユーザーについても、あらためてアップデートを確認しておく必要がある。

（Security NEXT - 2012/08/22 ）ツイート