Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Flash Player」がゼロデイ脆弱性を修正 - WindowsとMac狙う攻撃が発生中

Adobe Systemsは、「Adobe Flash Player」のセキュリティアップデートを公開した。「Windows」と「Mac OS X」を狙ったゼロデイ攻撃が発生しており、同社では早急なアップデートを求めている。

今回のアップデートは、脆弱性「CVE-2013-0633」「CVE-2013-0634」へ対処したもの。悪用されると端末の制御が奪われる可能性があり、いずれの脆弱性もすでに攻撃の報告を受けている。

脆弱性「CVE-2013-0633」に対する攻撃は、不正な「Flashコンテンツ」を埋め込んだWordファイルを、メールで送り付ける手口で、Windows上で動作する「ActiveX」バージョンの「Flash Player」を対象としていた。

一方、「CVE-2013-0634」では、同様にメールを悪用したゼロデイ攻撃にくわえ、ウェブ経由の攻撃も発生しているという。

細工された「Flashコンテンツ」を埋め込んだウェブサイトがホストされているもので、Mac OS Xで動作する「Safari」と「FireFox」を攻撃対象としていた。不正なページを閲覧するだけで攻撃を受けるおそれがある。

同社では、WindowsとMacの利用者向けに最新版となる「同11.5.502.149」を提供。Linuxには「同11.2.202.262」を用意した。

さらにAndroidユーザーには、「同11.1.115.37」「同11.1.111.32」を提供する。ただし、Androidに対するAdobe Flash Playerの新規提供は2012年8月に終了しており、従来からの利用者に限られる。

適用優先度を見ると、「Windows」と「Mac OS X」が3段階中もっとも高い「1」にレーティングされており、72時間以内にできるだけ早く適用するよう推奨されている。それ以外のプラットフォームは、適用優先度「3」となっている。

実行中のバージョンは同社サイトから確認でき、最新版についてはFlash Playerダウンロードセンターで提供するほか、Windows向けの「同11.2」以降やMac OS X向けの同「11.3」以降では、アップデート機能を通じても提供する。

(Security NEXT - 2013/02/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Exchange Server」にゼロデイ攻撃 - アップデートは準備中、緩和策の実施を
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
OLAP対応データストアの「Apache Pinot」に脆弱性
機密情報管理の「HashiCorp Vault」に脆弱性 - アップデートを
「PHP 8.1.11/7.4.32」が公開に - 複数の脆弱性を解消
WAFルールセット「OWASP CRS」に深刻な脆弱性 - 「ModSecurity」とあわせて更新を
モジュール型WAF「ModSecurity」がアップデート - セキュリティ上の複数問題へ対処
Google、「Chrome 106」をリリース - セキュリティ関連で20件の修正
XMLパーサーのライブラリ「libexpat」に深刻な脆弱性
Forcepoint DLPにXXE脆弱性 - 複数製品に影響