アドビシステムズは29日、Windows版での悪用事例が報告された脆弱性「CVE-2014-0515」を修正した、Adobe Flash Playerの最新版を公開した。細工されたFlashファイル(.swf)の再生でシステムを乗っ取られるおそれがあり、同社は最新版にアップデートするよう呼びかけている。
悪用攻撃を報告しているカスペルスキーによると、最新版で修正されたバッファオーバーフローの脆弱性は、今月中ごろから攻撃に悪用されているという。
対象となるのは、13.0.0.182以前のバージョンのWindows版、13.0.0.201以前のバージョンのMac版、11.2.202.350以前のバージョンのLinux版のFlash Playerで、更新後のバージョンはWindows版とMac版が「13.0.0.206」、Linux版が「11.2.202.356」となる。Flash Player 13系を利用できないWindowsとMac向けには、11.7系の最新版「11.7.700.279」が提供されている。
システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。
Windows 8/8.1/RTに搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて最新版の「13.0.0.206」が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、25日に公開したGoogle Chrome 34.0.1847.131(Windows/Mac)、34.0.1847.132(Linux)に最新版が搭載されており、こちらも自動的に更新される。
(2014/04/30 ネットセキュリティニュース)
【関連URL】
・APSB14-13:Security updates available for Adobe Flash Player[英文](Adobe)
http://helpx.adobe.com/security/products/flash-player/apsb14-13.html
・マイクロソフト サポート技術情報(2961887): Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム: 2014 年 4 月 28 日(マイクロソフト)
http://support.microsoft.com/kb/2961887
・Google Chrome Releases[英文](Google Chrome Releases)
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update_24.html
・New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks[英文](Kaspersky)
https://www.securelist.com/en/blog/8212/New_Flash_Player_0_day_CVE_2014_0515_used_in_watering_hole_attacks