アドビシステムズの「Flash Player」に複数のセキュリティ・ホールが見つかった。影響を受けるのはバージョン8.0.24.0、およびそれ以前のバージョン。細工が施されたFlashファイル(.swf)を読み込むと、悪意のあるプログラムを実行される恐れがある。同社は、今回公表した脆弱性を最も深刻な「critical」と位置づけ、バージョン9.0.16.0.へのアップグレードを勧めている。
同社、およびセキュリティベンダーのFrSIRT(仏)、Secunia(デンマーク)の情報によると、Flash Player8.0.24.0とそれ以前のバージョンには、動的に生成される極端に長い文字列によって、バッファオーバーフローが起きる脆弱性がある。これを悪用すると、ブラウザやメールソフトなど、Flash Playerを使用するアプリケーションにコンテンツを読み取らせることにより、任意のコードを実行することができる。また、「allowScriptAccess」オプションのエラーにより、悪意のあるWebサイトを見ただけでクロスドメインスプリクティング攻撃を実行される恐れもある。もう1点、Office製品がActiveXを呼び出す際のエラーにより、悪意のあるOffice文書を開いたときに任意のFlashコードを実行される恐れがある。
Flash Playerの古いバージョンについては、これまでにも危険なセキュリティホールが見つかっている。また、WindowsXPなどアドビ社以外の多くの製品もFlash Playerを含んでおり、マイクロソフトでも13日、この件に関するアドバイザリを公開し、アップグレードを呼びかけている。
Flash Playerの最新バージョンは、アドビ社のサイトからダウンロードできる。また、現在インストールされているバージョンは「Flash Player のバージョンテストページ」にアクセスすると確認できる。
(2006/09/14 ネットセキュリティニュース)
■Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions[英文](Adobe)
http://www.adobe.com/support/security/bulletins/apsb06-11.html
■Adobeセキュリティ速報:APSB06-11:Flash Playerの脆弱性を解決するアップデート(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/925143.mspx
■Adobe Macromedia Flash Player Multiple Remote Code Execution Vulnerabilities[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/3573
■Adobe Flash Player Multiple Vulnerabilities[英文](Secunia)
http://secunia.com/advisories/21865/
■Adobe Flash Playerのダウンロード(アドビ)
http://www.adobe.com/go/getflashplayer_jp
■Flash Player のバージョンテスト(アドビ)
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
【関連記事:ネットセキュリティニュース】
・Flash Player 8に深刻な脆弱性、バージョン9にアップデートを(2006/07/11)