米アドビシステムズは13日(米国時間)、Flash Playerに深刻な脆弱性が存在し、すでにこれを悪用する攻撃が始まっていることを明らかにした。
この脆弱性を悪用されると、アプリケーションがクラッシュしたり、パソコンが乗っ取られたりするおそれがある。同社では、この脆弱性の深刻度を4段階中最も高いCriticalとしている。
脆弱性の影響を受けるのは、Windows版/Macintosh版/Linux版/Solaris版のFlash Player 10.1.82.76およびそれ以前と、Android版 Flash Playerのバージョン10.1.92.10およびそれ以前。また、Windows版/Mac版/UNIX版のAdobe Reader 9.3.4およびそれ以前と、Windows版/Mac版のAcrobat 9.3.4およびそれ以前も、この脆弱性の影響を受ける。
同社によると、すでにこの脆弱性を悪用する攻撃が始まっている。標的となっているのは、Windows版のFlash Player。Adobe ReaderとAcrobatを狙う攻撃は確認されていないという。
同社はこの脆弱性を修正するパッチを準備中で、Flash Playerについては9月27日からの週に、またAdobe ReaderとAcrobatについては、10月4日からの週に公開する予定。Adobe Reader用とAcrobat用のパッチでは、8日(米国時間)に明らかにされた別の脆弱性(CVE-2010-2883)も修正される。
US-CERT(米コンピューター緊急対応チーム)では、今回明らかとなった脆弱性の回避策をいくつか提示している。まず、Flash Playerを狙った攻撃については、同プラグインを無効にしてしまえば回避できる。Internet Explorerを利用している場合は、ブラウザのセキュリティレベルを「高」にして、閲覧しても安全だと確信できるサイト(Microsoft Updateサイトは必須)のみを[信頼済みサイト]に登録するのが手っ取り早い。設定方法は、マイクロサイトの資料「ブラウザの操作および電子メール操作での安全性を高める」を参照していただきたい。
Adobe Readerに関しては、Adobe Readerのフォルダ内にあるモジュール「authplay.dll」と「rt3d.dll」を削除またはリネームすることが挙げられている。「authplay.dll」と「rt3d.dll」は、Windowsでは、通常、以下に存在する。
C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
C:\Program Files\Adobe\Reader 9.0\Reader\rt3d.dll
なお、現在、Adobe Readerの新しいバージョンが入手できるとする詐欺メールが出回っている。アドビシステムズでは、Adobe Readerをメールなどを通じて提供することはないとして注意を呼びかけている。
(2010/09/15 ネットセキュリティニュース)
■Security Advisory for Flash Player[英文](Adobe)
http://www.adobe.com/support/security/advisories/apsa10-03.html
■Adobe Flash unspecified code execution vulnerability[英文](US-CERT)
http://www.kb.cert.org/vuls/id/275289
■Alert: Adobe Reader Upgrade Email Spam[英文](Adobe PSIRT Blog)
http://blogs.adobe.com/psirt/2010/09/alert-adobe-reader-upgrade-email-spamphishing-scam.html
■ブラウザの操作および電子メール操作での安全性を高める(マイクロソフト)
http://www.microsoft.com/japan/protect/computer/advanced/browsing.mspx
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】Adobe Readerの未修整の脆弱性狙うトロイの木馬(2010/09/10)