Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Flash Player」がゼロデイ脆弱性を修正 - WindowsとMac狙う攻撃が発生中

Adobe Systemsは、「Adobe Flash Player」のセキュリティアップデートを公開した。「Windows」と「Mac OS X」を狙ったゼロデイ攻撃が発生しており、同社では早急なアップデートを求めている。

今回のアップデートは、脆弱性「CVE-2013-0633」「CVE-2013-0634」へ対処したもの。悪用されると端末の制御が奪われる可能性があり、いずれの脆弱性もすでに攻撃の報告を受けている。

脆弱性「CVE-2013-0633」に対する攻撃は、不正な「Flashコンテンツ」を埋め込んだWordファイルを、メールで送り付ける手口で、Windows上で動作する「ActiveX」バージョンの「Flash Player」を対象としていた。

一方、「CVE-2013-0634」では、同様にメールを悪用したゼロデイ攻撃にくわえ、ウェブ経由の攻撃も発生しているという。

細工された「Flashコンテンツ」を埋め込んだウェブサイトがホストされているもので、Mac OS Xで動作する「Safari」と「FireFox」を攻撃対象としていた。不正なページを閲覧するだけで攻撃を受けるおそれがある。

同社では、WindowsとMacの利用者向けに最新版となる「同11.5.502.149」を提供。Linuxには「同11.2.202.262」を用意した。

さらにAndroidユーザーには、「同11.1.115.37」「同11.1.111.32」を提供する。ただし、Androidに対するAdobe Flash Playerの新規提供は2012年8月に終了しており、従来からの利用者に限られる。

適用優先度を見ると、「Windows」と「Mac OS X」が3段階中もっとも高い「1」にレーティングされており、72時間以内にできるだけ早く適用するよう推奨されている。それ以外のプラットフォームは、適用優先度「3」となっている。

実行中のバージョンは同社サイトから確認でき、最新版についてはFlash Playerダウンロードセンターで提供するほか、Windows向けの「同11.2」以降やMac OS X向けの同「11.3」以降では、アップデート機能を通じても提供する。

(Security NEXT - 2013/02/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、5月の月例パッチで脆弱性55件を修正 - 3件が公開済み
「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も
「Citrix Workspace App」に権限昇格の脆弱性 - アップデートを公開
Adobe、13製品向けにセキュリティアップデートを公開
「Adobe Experience Manager」に深刻な脆弱性
「Adobe Experience Manager」に6件の脆弱性 - 修正版が公開
eコマースプラットフォーム「Magento」にセキュリティアップデート
「Adobe Acrobat/Reader」に14件の脆弱性、アップデートが公開 - すでにゼロデイ攻撃も
「Chrome 90.0.4430.212」が公開、セキュリティ関連で19件の修正
IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」