最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆修正直後の脆弱性狙う攻撃を確認、パッチ未適用の方は今すぐ適用を(2014/11/25) | メイン | ◆SNMP対応機器がDDoS攻撃の踏み台に~警察庁が注意呼びかけ(2014/11/27) »

2014/11/26

◆アドビ、深刻な脆弱性を修正した「Flash Player」最新版を緊急公開(2014/11/26)

 アドビシステムズは26日、深刻な脆弱性1件を修正した「Flash Player」の最新版を緊急公開した。この脆弱性を悪用する攻撃コードがすでにエクスプロイトキットに組み込まれているので、ユーザーは直ちにアップデートしていただきたい。

 アップデートの対象となるのは、Windows版、Mac版、Linux版のFlash Player。更新後のバージョンは、Windows版とMac版が「15.0.0.239」、Linux版が「11.2.202.424」、Mac版のChrome用が「15.0.0.242」となる。Flash Player 15を利用できないWindowsとMac向けには、13の最新版「13.0.0.258」が提供されている。

 システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

 Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて「15.0.0.239」が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 39.0.2171.71」が公開されており、こちらも自動的に更新される。

■修正された脆弱性「CVE-2014-8439」について

 今回修正された脆弱性は、3件の脆弱性を修正した先月のアップデートで緩和措置がとられていたそうだが、当時は未発表だったもの。アップデートの翌週には、セキュリティ研究者kafeine氏が、「Angler」というエクスプロイトキットに修正されたばかりの脆弱性の悪用とみられる攻撃コードが組み込まれていることを報告している。

 エクスプロイトキットというのは、さまざまな脆弱性攻撃を簡単に仕掛けることができるようにする攻撃用ツールのこと。闇市場で売買されており、改ざんされた正規サイトの誘導先などに、こうしたツールで構築された攻撃サイトを設置し、ユーザーをウイルスに感染させようとする。そんなエクスプロイトキットのひとつに、更新前のFlash Playerでは攻撃に成功するが、更新後は成功しないコードが使われていたのだ。

 ところがこの検体をセキュリティ企業のエフセキュアが解析したところ、悪用されていたのは、公表された3件とは別のメモリーポインターの処理に関する脆弱性だったことが分かった。今回修正された脆弱性「CVE-2014-8439」がそれだ。おそらく先月の時点では、この脆弱性に対する根本的な修正措置が行えず、緩和措置にとどめていたところ、修正個所を解析した攻撃者に攻撃手法を開発されてしまったのだろう。この脆弱性を悪用するコードは、その後他の複数のエクスプロイトキットにも組み込まれているそうなので、一刻も早く根本的な問題を解消した最新版にアップデートしていただきたい。

(2014/11/26 ネットセキュリティニュース)

【関連URL】
・APSB14-26:Security updates available for Adobe Flash Player[英文](アドビ)
http://helpx.adobe.com/security/products/flash-player/apsb14-26.html
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/
・Stable Channel Update[英文](Google Chrome Releases)
http://googlechromereleases.blogspot.jp/2014/11/stable-channel-update_25.html
・セキュリティ アドバイザリ (2755801)(マイクロソフト)
https://technet.microsoft.com/library/security/2755801
・Microsoft security advisory(3018943): November 25, 2014[英文](マイクロソフト)
https://support2.microsoft.com/kb/3018943
・APSB14-22:Adobe Flash Player用のセキュリティアップデート公開(アドビ)
http://helpx.adobe.com/jp/security/products/flash-player/apsb14-22.html
・CVE-2014-0569 (Flash Player) integrating Exploit Kit[英文](Malware don't need Coffee)
http://malware.dontneedcoffee.com/2014/10/cve-2014-0569.html
・Out-of-Band Flash Player Update for CVE-2014-8439[英文](F-Secure)
https://www.f-secure.com/weblog/archives/00002768.html

投稿情報: 10:33 |

|