アドビシステムズは4日、深刻な脆弱性1件を修正したFlash Playerの最新版を公開した。すでにこの脆弱性を悪用した標的型攻撃が行われており、早急に最新版に更新するようお勧めする。
対象となるのは、Windows、Mac、Linux版の「11.2.202.233」およびそれ以前のバージョンと、Android 4.x用の「11.1.115.7」およびそれ以前のバージョン、Android 3.x/2.x用の「11.1.111.8」およびそれ以前のバージョン。アップデート後は、Windows、Mac、Linux版が「11.2.202.235」に、Android 4.x版は「11.1.115.8」に、Android 3.x/2.x版は「11.1.111.9」に更新される。
最新版では、オブジェクトタイプの混乱により、コードが実行されるおそれのある脆弱性が修正された。シマンテックのブログによれば、この脆弱性を悪用するための細工したFlashファイルへのリンクをMicrosoft Wordの文書ファイルに埋め込み、メールに添付して送りつける標的型攻撃が行われているという。
Internet Explorer用のFlash Playerは、さまざまなアプリケーションから利用することができる「ActiveXコントロール」の形で提供されている。オブジェクトの埋め込みをサポートするMicrosoft Office製品では、WordファイルやExcelファイルに、Flashコンテンツを埋め込むことができ、それぞれのアプリケーションで開くと、ActiveXコントロール版のFlash Playerが呼び出される。現在行われている攻撃は、この仕組みを悪用したものなので、Windows版Internet Explorer用のFlash Playerをインストールしている方は、特に注意していただきたい。
システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザを利用している方で、Flash Playerの自動更新機能を無効にしている場合には、ブラウザごとに確認と更新を行っていただきたい。
(2012/05/07 ネットセキュリティニュース)
【関連URL】
・APSB12-09: Adobe Flash Player に関するセキュリティアップデート公開(アドビシステムズ)
http://kb2.adobe.com/jp/cps/936/cpsid_93612.html
・Adobe Flash Player の脆弱性(CVE-2012-0779)を悪用する標的型攻撃(シマンテック)
http://www.symantec.com/connect/ja/blogs/targeted-attacks-using-confusion-cve-2012-0779
・Flash Playerのバージョン確認(アドビシステムズ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビシステムズ)
http://get.adobe.com/jp/flashplayer/