アドビシステムズは10日、深刻な脆弱性を修正したFlash Playerの最新版「9.0.47.0」(Windows、Mac、Solaris版)を公開し、「9.0.45.0」とそれ以前のバージョンを使用しているすべてのユーザーにアップグレードを呼びかけた。なお、Linux用の最新バージョンは「9.0.48.0」。
今回明らかにされた脆弱性は3つ。
・入力データの検証に問題があるため、細工されたSWFファイルを読み込ませることにより、リモートから任意のコードを実行できる。悪質なWebサイトを閲覧するだけで被害にあうおそれがある。影響があるのは、9.0.45.0以前のバージョン。
・HTTP Refererヘッダの処理に問題があり、細工されたSWFファイルを読み込ませると、任意のRefererヘッダを送信させることが可能になる。そのため、Refererヘッダをもとにセキュリティ対策を行うWebアプリケーションにおいて、セキュリティ対策を迂回されるおそれがある。影響があるのは、8.0.34.0以前のバージョン。
・LinuxおよびSolaris版のOperaまたはKonquerorと、Flash Player 7.0.69.0以前のバージョンを併用すると問題が発生する。
Flash Playerの最新バージョンは、アドビのサイトからダウンロードできる。また、現在インストールされているバージョンは「Flash Playerのバージョンテストページ」で確認できる。なお先月、偽の「Flash Playerダウンロードページ」へ誘導し、スパイウェアをダウンロードさせようとする悪質なサイトの存在が報告されている。もちろんFlash Player以外にも言えることだが、アップグレードを行う際は、直接正規のサイト(今回はアドビ)へアクセスするようお勧めする。
(2007/07/13 ネットセキュリティニュース)
■Flash Player update available to address security vulnerabilities[英文](Adobe)
http://www.adobe.com/support/security/bulletins/apsb07-12.html
■Adobe Flash Playerのダウンロード
http://www.adobe.com/go/getflashplayer_jp
■Flash Playerのバージョンテスト
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
【関連記事:ネットセキュリティニュース】
・「Flash Player」を最新版に~「今すぐインストール」でスパイウェアが潜入(2007/06/26)