Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

「Flash Player」のセキュリティアップデート、早期適用の重要性

「Adobe Flash Player」のセキュリティアップデートを公開したタイミングから、わずか数日といった短いスパンで攻撃コードが登場している。コードが公開され、容易に悪用が可能となるケースも少なくない。

米国時間5月12日、Adobe Systemsはセキュリティアップデートである「APSB15-09」を公開し、「Adobe Flash Player」の脆弱性18件を修正した。同社は72時間以内にできるだけ早くアップデートするよう呼びかけている。

72時間を短いと感じたり、少々オーバーな表現ではないかと勘ぐるユーザーもいるかもしれない。しかし、こうした「タイムリミット」は、現実的なものだ。たとえば、米国時間4月14日に公開し、22件を修正したセキュリティアップデート「APSB15-06」はその良い例と言える。

同アップデートには、ロシア政府の関与疑惑も出ている標的型ゼロデイ攻撃に用いられた脆弱性「CVE-2015-3043」が含まれており、早急な適用が呼びかけられたが、早急に対応すべき理由はゼロデイ攻撃が発生していただけに限らない。攻撃が確認されていなかった脆弱性についても、公開により攻撃のリスクが高まるためだ。

セキュリティベンダーによって一部見解は異なるが、4月のアップデートが公開された3日後には、エクスプロイトキットである「Angler」により、同アップデートで修正された脆弱性「CVE-2015-0359」の悪用が確認された。まさにAdobeが適用を推奨した72時間の経過とともに、エクスプロイトキットによる悪用がはじまったことになる。

(Security NEXT - 2015/05/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Firefox」に複数脆弱性、アップデート公開 - 「クリティカル」との評価も
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
「PHP」に複数脆弱性 - 修正版「同8.5.1」など公開
WatchGuard製UTM「Firebox」のVPN脆弱性悪用に注意喚起 - 米当局
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.