Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

「Flash Player」のセキュリティアップデート、早期適用の重要性

「Adobe Flash Player」のセキュリティアップデートを公開したタイミングから、わずか数日といった短いスパンで攻撃コードが登場している。コードが公開され、容易に悪用が可能となるケースも少なくない。

米国時間5月12日、Adobe Systemsはセキュリティアップデートである「APSB15-09」を公開し、「Adobe Flash Player」の脆弱性18件を修正した。同社は72時間以内にできるだけ早くアップデートするよう呼びかけている。

72時間を短いと感じたり、少々オーバーな表現ではないかと勘ぐるユーザーもいるかもしれない。しかし、こうした「タイムリミット」は、現実的なものだ。たとえば、米国時間4月14日に公開し、22件を修正したセキュリティアップデート「APSB15-06」はその良い例と言える。

同アップデートには、ロシア政府の関与疑惑も出ている標的型ゼロデイ攻撃に用いられた脆弱性「CVE-2015-3043」が含まれており、早急な適用が呼びかけられたが、早急に対応すべき理由はゼロデイ攻撃が発生していただけに限らない。攻撃が確認されていなかった脆弱性についても、公開により攻撃のリスクが高まるためだ。

セキュリティベンダーによって一部見解は異なるが、4月のアップデートが公開された3日後には、エクスプロイトキットである「Angler」により、同アップデートで修正された脆弱性「CVE-2015-0359」の悪用が確認された。まさにAdobeが適用を推奨した72時間の経過とともに、エクスプロイトキットによる悪用がはじまったことになる。

(Security NEXT - 2015/05/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「HPE iMC」に深刻な脆弱性 - CVSS値「9.8」が41件
DNSサーバ「PowerDNS Recursor」にサービス拒否の脆弱性
バックアップソフト「Macrium Reflect」に権限昇格の脆弱性
WP向けダウンロード監視プラグインに脆弱性
「Firefox 82」が登場 - 脆弱性7件に対応
「Chrome 86.0.4240.111」が公開 - 悪用済みのゼロデイ脆弱性を修正
「Java SE」のアップデートが公開、脆弱性8件を解消
Oracle、定例パッチで402件の脆弱性に対処 - CVSS基本値「9.0」以上が82件
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
VMwareの複数製品に脆弱性 - CVSS基本値が「9.8」の脆弱性も

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.