アドビシステムズは15日、複数の脆弱性を修正したFlash Playerの最新版「10.0.12.36」を公開した。
脆弱性が存在するのは「9.0.124.0」とそれ以前のバージョン。最新版では、先月末にセキュリティ研究者が明らかにした「クリックジャッキング」の問題も修正されている。
クリックジャッキングは複数のWebブラウザやプラグインで確認されている脆弱性で、Web閲覧中に、ユーザーに気付かれないように、ページ内に用意してあるリンクやダイアログのボタンをクリックさせることができるというもの。Flash Playerでは、クリックジャッキングによりカメラやマイクを操作されてしまうという問題があり、7日に回避策が公開されていた。
また、8月に悪用が報告されていた、Flashコンテンツに仕込んだスクリプトを使ってクリップボードを乗っ取ることができる問題も修正されている。
アドビではすべてのユーザーに対して最新版へのアップグレードをすすめているが、「9」から「10」へアップグレードすることができないユーザーのために、11月初めに「Flash Player 9」のアップデートを公開するとしている。
(2008/10/17 インターネットセキュリティニュース)
■Adobe Flash Playerのダウンロード
http://www.adobe.com/go/getflashplayer_jp
■Flash Playerのバージョンテスト
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
【脆弱性情報(英文)】
・Flash Player update available to address security vulnerabilities(Adobe)
http://www.adobe.com/support/security/bulletins/apsb08-18.html
・Flash Player workaround available for "Clickjacking" issue(Adobe)
http://www.adobe.com/support/security/advisories/apsa08-08.html
・Understanding the security changes in Flash Player 10(Adobe)
http://www.adobe.com/devnet/flashplayer/articles/fplayer10_security_changes.html
・Pwning the clipboard - latest trick used in FakeAlert distribution(SOPHOS)
http://www.sophos.com/security/blog/2008/08/1671.html