ニュース
» 2015年10月14日 18時07分 UPDATE

アドビが公開した最新のセキュリティアップデートを適用していても影響:Flash Playerにゼロデイ脆弱性の報告

アドビシステムズは米国時間の2015年10月13日(日本時間14日)、「Adobe Reader」「Acrobat」と、「Adobe Flash Player」向けのセキュリティアップデートを公開した。しかし同日、Flashのゼロデイ脆弱性を悪用する攻撃も確認されたという。

[高橋睦美,@IT]

 アドビシステムズは米国時間の2015年10月13日(日本時間14日)、「Adobe Reader」「Acrobat」と、「Adobe Flash Player」向けのセキュリティアップデートを公開した。いずれも深刻な脆弱(ぜいじゃく)性を修正するものだが、Adobe Flash Playerについてはこのアップデートを適用しても悪用可能な脆弱性が存在するとの指摘があり、いっそうの注意が必要だ。

 今回のアップデートでは、Adobe Reader/Acrobatに関しては50以上の脆弱性を、Adobe Flash Playerについても13種類の脆弱性を修正している。アップデートされた最新ソフトウエアは以下の通りだ。

Adobe Reader/Acrobat向けアップデート(APSB15-24)

  • Adobe Acrobat Reader DC Continuous (2015.008.20082) およびそれ以前
  • Adobe Acrobat Reader DC Classic (2015.006.30060) およびそれ以前
  • Adobe Reader XI (11.0.12) およびそれ以前
  • Adobe Reader X (10.1.15) およびそれ以前
  • Adobe Acrobat DC Continuous (2015.008.20082) およびそれ以前
  • Adobe Acrobat DC Classic (2015.006.30060) およびそれ以前
  • Adobe Acrobat XI (11.0.12) およびそれ以前
  • Adobe Acrobat X (10.1.15) およびそれ以前

Adobe Flash Player向けアップデート(APSB15-25)

  • Adobe Flash Player Desktop Runtime 19.0.0.207(WindowsおよびMacintosh)
  • Adobe Flash Player Extended Support Release 18.0.0.252(WindowsおよびMacintosh)
  • Adobe Flash Player for Google Chrome 19.0.0.207(Windows、Macintosh、LinuxおよびChromeOS)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 19.0.0.207
  • Adobe Flash Player for Internet Explorer 10 and 11 19.0.0.207
  • Adobe Flash Player for Linux 11.2.202.535
  • AIR Desktop Runtime 19.0.0.213(WindowsおよびMacintosh)
  • AIR SDK 19.0.0.213(Windows、Macintosh、AndroidおよびiOS)
  • AIR SDK & Compiler 19.0.0.213(Windows、Macintosh、AndroidおよびiOS)

 中には、細工を施したWebサイトを閲覧するだけでDoS状態(Denial of Service、ホストに高負荷を掛ける状態)に陥り、プログラムが異常終了したり、任意のコードが実行され、攻撃者にPCを制御されたりする恐れがあるため、早期の適用が望ましい。

 しかしトレンドマイクロは同日、Adobe Flash Playerのゼロデイ脆弱性を狙う攻撃が確認されたとのブログ記事を公開した。

 これによると、2007年ごろから活動していると見られる標的型攻撃キャンペーン「Pawn Storm」を行っている攻撃者が、Flashのゼロデイ脆弱性を悪用して攻撃を行ったことが確認された。この脆弱性に対するパッチは公開されておらず、Adobe Flash Player 19.0.0.185および19.0.0.207が影響を受ける。つまり、公開されたばかりのセキュリティアップデートを適用していても脆弱な状況に置かれてしまうという。

 Pawn Stormは、複数の国の外務省に相当する組織を主に標的とした攻撃キャンペーンだ。2015年4月に報告された攻撃では、北大西洋条約機構(NATO)やアメリカ大統領官邸(ホワイトハウス)を標的に、最新のニュースに関連するリンクが記されたメールが送付され、リンクをクリックすると脆弱性を悪用する攻撃コードが置かれたWebサイトに誘導されるようになっていた。

 10月14日に確認された攻撃に使われたURLは、上記4月の攻撃に利用されたURLに酷似していたという。

 この情報を受け、JPCERTコーディネーションセンター(JPCERT/CC)では、ゼロデイ脆弱性に対するパッチが提供されるまでの間、例えばIEの環境では「『インターネット オプション』からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを『高』に設定する」といった回避策を実行するよう推奨している。

 2015年7月には、国内の複数のサイトが改ざんされ、Flashの脆弱性を狙う攻撃コードが仕込まれてしまう事件が発生した。このときにならうならば、一時的にFlashを無効化することも検討すべきだろう。

Copyright© 2015 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

Surface Pro 3
Loading

ホワイトペーパー(TechTargetジャパン)

注目のテーマ

転職/派遣情報を探す

エンジニアの求人情報、ただいま増加中

【転職サーチ】SIer/Web企業/新規事業 スマホ開発で、あなたのキャリアを生かす

派遣エンジニアにお役立ちの仕事情報

「派遣・フリーで働くメリット」とは? 活躍する派遣エンジニアの本音

編集部からのお知らせ

@ITで働いてみませんか?

@IT編集部では現在、編集スタッフを募集しています。編集経験は不問。 ITに関する経験のある方、ご応募お待ちしています。

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。