米アドビシステムズは22日(現地時間)、Flash Player に新たな脆弱性が見つかり、これを悪用する攻撃も確認していることを明らかにした。セキュリティベンダー各社もこの脆弱性に関して注意を呼び掛けている。
同社のアドバイザリやセキュリティベンダー各社の情報によると、Flash Playerにコード実行の脆弱性があり、細工されたFlashファイル(SWFファイル)を開くと、攻撃者がローカルユーザーと同じ権限を取得し、パソコンを乗っ取られるおそれがある。また、細工されたSWFファイルを埋め込んだWebサイトを閲覧した場合も、同様のおそれがある。
すでに細工されたSWFファイルを含むPDFファイルが出回っており、そのファイルを開くだけで、トロイの木馬が投下・実行されることが確認されている。
影響を受けるのは、Flash Player(バージョン9/10)、およびFlash Player関連コンポーネントを含むAdobe ReaderとAcrobat(バージョン9)。
同社はこの脆弱性解消のための準備を進めており、今月30日までに、Windows、Macintosh、リナックス版のFlash Playerをアップデートする。また31日までに、Adobe ReaderとAcrobatをアップデートをする予定だ。
(2009/07/24 ネットセキュリティニュース)
■Adobe Flash Player に脆弱性(JVN)
http://jvn.jp/cert/JVNVU259425/
■アドビシステムズのリリース(英文)
・APSA09-03 - Security Advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.html
・Update on Adobe Reader, Acrobat and Flash Player Issue
http://blogs.adobe.com/psirt/2009/07/update_on_adobe_reader_acrobat.html
・Potential Adobe Reader, Acrobat, and Flash Player issue
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
■セキュリティベンダー各社の情報(英文)
・Adobe Acrobat/Reader and Flash Player Code Execution Vulnerability(VUPEN Security)
http://www.vupen.com/english/advisories/2009/1986
・Adobe Flash Player Arbitrary Code Execution Vulnerability(Secunia)
http://secunia.com/advisories/35948/
・VU#259425:Adobe Flash Player vulnerability(US-CERT)
http://www.kb.cert.org/vuls/id/259425
・Adobe Reader/Acrobat SWF Content Arbitrary Code Execution(Secunia)
http://secunia.com/advisories/35949/
・YA0D (Yet Another 0-Day) in Adobe Flash player(SANS Institute)
http://isc.sans.org/diary.html?storyid=6847
・Next-Generation Flash Vulnerability(Symantec)
http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability