コード変更で再発した脆弱性がゼロデイ攻撃の狙い目に

6月のアップデートで修正された「Adobe Flash Player」の脆弱性「CVE-2015-3113」は、過去に修正された「CVE-2015-3043」と同様の原因で生じたものであることがわかった。コード変更にともない再発したものだという。

「CVE-2015-3113」は、重要インフラ事業者を対象とした攻撃キャンペーン「Operation Clandestine Wolf」で悪用された「Adobe Flash Player」の脆弱性。FireEyeが攻撃を確認し、Adobe Systemsへ報告。米時間6月23日のアップデートで修正された。中国で活動するグループによる攻撃と見られている。

米Trend Microによれば、これら脆弱性は動画のファイルフォーマットである「FLV」において、音声コーデック「Nellymoser」の音声処理方法に起因しており、バッファ長の確認を回避し、固定長のヒープ領域をオーバフローさせるものだったという。

「CVE-2015-3043」は、「同17.0.0.169」で修正されたものの、「同18.0.0.160」へアップデートされた際にコードが変更されたことで、根本的な原因が同様である脆弱性が再発。過去の悪用コードも今回の攻撃に利用できたとTrend Microは分析した。

修正した脆弱性が解析され、類似した脆弱性が攻撃される可能性があるとし、修正プログラムを開発する場合、慎重な対応が求められていると同社は指摘。リグレッションテスト（回帰テスト）の重要性を訴えている。

（Security NEXT - 2015/06/29 ） ツイート

PR

関連記事

iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
「Node.js」向けMySQLクライアントにRCE脆弱性
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を
Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み
サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定