Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Flash Player」のセキュリティアップデート、早期適用の重要性

「Adobe Flash Player」のセキュリティアップデートを公開したタイミングから、わずか数日といった短いスパンで攻撃コードが登場している。コードが公開され、容易に悪用が可能となるケースも少なくない。

米国時間5月12日、Adobe Systemsはセキュリティアップデートである「APSB15-09」を公開し、「Adobe Flash Player」の脆弱性18件を修正した。同社は72時間以内にできるだけ早くアップデートするよう呼びかけている。

72時間を短いと感じたり、少々オーバーな表現ではないかと勘ぐるユーザーもいるかもしれない。しかし、こうした「タイムリミット」は、現実的なものだ。たとえば、米国時間4月14日に公開し、22件を修正したセキュリティアップデート「APSB15-06」はその良い例と言える。

同アップデートには、ロシア政府の関与疑惑も出ている標的型ゼロデイ攻撃に用いられた脆弱性「CVE-2015-3043」が含まれており、早急な適用が呼びかけられたが、早急に対応すべき理由はゼロデイ攻撃が発生していただけに限らない。攻撃が確認されていなかった脆弱性についても、公開により攻撃のリスクが高まるためだ。

セキュリティベンダーによって一部見解は異なるが、4月のアップデートが公開された3日後には、エクスプロイトキットである「Angler」により、同アップデートで修正された脆弱性「CVE-2015-0359」の悪用が確認された。まさにAdobeが適用を推奨した72時間の経過とともに、エクスプロイトキットによる悪用がはじまったことになる。

(Security NEXT - 2015/05/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Sentry」のSSOに脆弱性 - なりすましのおそれ
Ivanti、3製品でアップデートを公開 - 脆弱性を解消
「Aviatrix Controller」の脆弱性悪用に注意喚起 - 米当局
「NVIDIA Container Toolkit」に複数脆弱性 - アップデートを公開
「Ivanti EPM」に複数の深刻な脆弱性 - アップデートを公開
SAP、セキュリティアドバイザリ14件を公開 - 「クリティカル」も
SAP、月例セキュリティアドバイザリ13件を公開
アップデートで複数の脆弱性やバグを修正 - GitLab
ビデオ会議のZoom、複数のセキュリティアドバイザリを公開
「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を