Flash Playerがセキュリティアップデート、ゼロデイ脆弱性を修正

米Adobe Systemsは28日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。脆弱性は既に悪用が確認されているため、Adobeではユーザーに対してアップデートを推奨している。

 最新バージョンは、Windows/Mac版が「13.0.0.206」、Linux版が「11.2.202.356」。Flash Playerを内蔵しているGoogle ChromeおよびWindows 8.1/8向けのInternet Explorer 11/10も、それぞれアップデートの提供を開始した。

 今回のアップデートでは、バッファオーバーフローにより任意のコードを実行させられる危険のある脆弱性「CVE-2014-0515」を修正する。

 この脆弱性を報告したKaspersky Labによると、悪用コードのサンプルを最初に受け取ったのは4月14日で、4月16日にも同じサンプルを受け取った。ヒューリスティック検知の状況を確認したところ、4月9日に最初の悪用が記録されており、多数の悪用が確認されたという。

 Kasperskyが確認した攻撃は、Windowsユーザーを標的としており、OSがWindows 8である場合には攻撃を変化させる仕組みも備わっていた。サイトには「movie.swf」「include.swf」という2種類のFlash動画ファイルとして設置されていた。

 「movie.swf」は、さらに別の悪用コードをダウンロードする目的のものだが、既にリンク切れとなっていたため、どのようなコードであったかは調査できていないという。もう1つの「include.swf」は、Flash PlayerのActiveXとCiscoのウェブ会議システム「MeetingPlace Express」用のアドオンがインストールされている環境でのみ動作するもので、こちらについても完全な悪用コードは入手できていないという。

 Kasperskyによると、これら2つのファイルはシリア司法省のサイトに設置されていたことが確認されており、市民が違法行為などに抗議するためのオンラインフォームに攻撃が仕掛けられていたことから、攻撃はシリア反体制派を標的としたものだと分析している。Kaspersky製品によるこの攻撃に関する検知件数は30件で、うち7件がシリア国内のものだった。また、攻撃を受けたすべてのユーザーは、Firefoxを利用していたという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140430_646579.html