「Flash Player」のセキュリティアップデート、早期適用の重要性
「Adobe Flash Player」のセキュリティアップデートを公開したタイミングから、わずか数日といった短いスパンで攻撃コードが登場している。コードが公開され、容易に悪用が可能となるケースも少なくない。
米国時間5月12日、Adobe Systemsはセキュリティアップデートである「APSB15-09」を公開し、「Adobe Flash Player」の脆弱性18件を修正した。同社は72時間以内にできるだけ早くアップデートするよう呼びかけている。
72時間を短いと感じたり、少々オーバーな表現ではないかと勘ぐるユーザーもいるかもしれない。しかし、こうした「タイムリミット」は、現実的なものだ。たとえば、米国時間4月14日に公開し、22件を修正したセキュリティアップデート「APSB15-06」はその良い例と言える。
同アップデートには、ロシア政府の関与疑惑も出ている標的型ゼロデイ攻撃に用いられた脆弱性「CVE-2015-3043」が含まれており、早急な適用が呼びかけられたが、早急に対応すべき理由はゼロデイ攻撃が発生していただけに限らない。攻撃が確認されていなかった脆弱性についても、公開により攻撃のリスクが高まるためだ。
セキュリティベンダーによって一部見解は異なるが、4月のアップデートが公開された3日後には、エクスプロイトキットである「Angler」により、同アップデートで修正された脆弱性「CVE-2015-0359」の悪用が確認された。まさにAdobeが適用を推奨した72時間の経過とともに、エクスプロイトキットによる悪用がはじまったことになる。
(Security NEXT - 2015/05/22 )
ツイート
関連リンク
PR
関連記事
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
米セキュリティ当局、5件の悪用脆弱性に注意喚起
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
「Adobe ColdFusion」に脆弱性 - 悪用リスク高く、早急に対応を
「SonicWall SMA1000シリーズ」にゼロデイ脆弱性 - 更新や侵害調査を

