「Flash Player」がゼロデイ脆弱性を修正 - WindowsとMac狙う攻撃が発生中

Adobe Systemsは、「Adobe Flash Player」のセキュリティアップデートを公開した。「Windows」と「Mac OS X」を狙ったゼロデイ攻撃が発生しており、同社では早急なアップデートを求めている。

今回のアップデートは、脆弱性「CVE-2013-0633」「CVE-2013-0634」へ対処したもの。悪用されると端末の制御が奪われる可能性があり、いずれの脆弱性もすでに攻撃の報告を受けている。

脆弱性「CVE-2013-0633」に対する攻撃は、不正な「Flashコンテンツ」を埋め込んだWordファイルを、メールで送り付ける手口で、Windows上で動作する「ActiveX」バージョンの「Flash Player」を対象としていた。

一方、「CVE-2013-0634」では、同様にメールを悪用したゼロデイ攻撃にくわえ、ウェブ経由の攻撃も発生しているという。

細工された「Flashコンテンツ」を埋め込んだウェブサイトがホストされているもので、Mac OS Xで動作する「Safari」と「FireFox」を攻撃対象としていた。不正なページを閲覧するだけで攻撃を受けるおそれがある。

同社では、WindowsとMacの利用者向けに最新版となる「同11.5.502.149」を提供。Linuxには「同11.2.202.262」を用意した。

さらにAndroidユーザーには、「同11.1.115.37」「同11.1.111.32」を提供する。ただし、Androidに対するAdobe Flash Playerの新規提供は2012年8月に終了しており、従来からの利用者に限られる。

適用優先度を見ると、「Windows」と「Mac OS X」が3段階中もっとも高い「1」にレーティングされており、72時間以内にできるだけ早く適用するよう推奨されている。それ以外のプラットフォームは、適用優先度「3」となっている。

実行中のバージョンは同社サイトから確認でき、最新版についてはFlash Playerダウンロードセンターで提供するほか、Windows向けの「同11.2」以降やMac OS X向けの同「11.3」以降では、アップデート機能を通じても提供する。

（Security NEXT - 2013/02/08 ）ツイート