最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆グーグル、深刻な脆弱性を修正した「Google Chrome 40」を公開(2015/01/23) | メイン | ◆ゼロデイ脆弱性を修正した「Flash Player」、自動更新を通じた配布を開始(2015/01/26) »

2015/01/23

◆【ゼロデイ攻撃】Adobe Flash Playerの未修正の脆弱性を突く攻撃発生(2015/01/23)

 Adobe Flash Playerの未修正の脆弱性を突く攻撃コードが、「Angler」というエクスプロイトキットに組み込まれていることがわかり、発見したセキュリティ研究者やセキュリティ企業が注意を呼びかけている。

 アドビシステムズは本日、この問題とは別の脆弱性1件を修正する、Flash Playerの緊急アップデートを公開したが、より深刻な問題がまだ解決されていないので、Flash Playerの無効化や一時的なアンインストール、実行時に許可を求めるように設定にするなどの安全策を講じておくことをお勧めする。

■23日公開の緊急アップデートについて

 定例外で公開されたFlash Playerの最新版は、コード実行の脆弱性攻撃を受けにくくするためにWindowsが備えている、メモリーのランダム化が回避されてしまう問題(CVE-2015-0310)を解決する。この脆弱性は、他の脆弱性と併用すると効果的なもので、すでに攻撃に悪用されていたという。

 アップデートの対象は、Windows、Mac、Linux。更新後のバージョンは、Windows版とMac版が「16.0.0.287」、Linux版が「11.2.202.438」となる。Flash Player 16を利用できないWindowsとMac向けには、13の最新版「13.0.0.262」が提供されている。

 システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は、同社サイトで配布されている。

 Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlashPlayerについては、Windows Updateを通じて最新版が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 40.0.2214.91」が公開されており、こちらも自動的に更新される。

【関連URL】
・APSB15-02:Security updates available for Adobe Flash Player[英文](Adobe)
http://helpx.adobe.com/security/products/flash-player/apsb15-02.html

■攻撃に悪用されている未修正の脆弱性について~アップデートは来週

 Flash Playerの未修正の脆弱性を悪用した攻撃コードは、セキュリティ研究者のkafeine氏が、「Angler」というエクスプロイトキットに組み込まれているのを発見し報告したもの。エクスプロイトキットは、さまざまな脆弱性攻撃をパッケージ化した攻撃用のツールだ。闇市場で売買されており、改ざんした正規サイトなどから、こうしたツールで構築された攻撃サイトへと誘導し、閲覧者のパソコンにマルウェア(ウイルス)をインストールしようとする。そんなエクスプロイトキットのひとつから、最新Flash Playerに影響する攻撃コードが見つかったという。

 アドビのセキュリティアドバイザリによると、悪用されているのは、本日公開したWindows/Macintosh/Linux版の最新版および以前のバージョンに影響するコード実行の脆弱性(CVE-2015-0310)で、システムを乗っ取られるなどの深刻な事態を招くおそれがある。

 kafeine氏のブログによると、この脆弱性攻撃に使われている細工されたSWFファイルは、Google Chromeでは発動しないが、Windows XP/7/8上のInternet Explorer(IE)やFirefoxでは脆弱性の悪用に成功し、マルウェアの強制インストールを行うという。攻撃コードは、改良が進められているそうなので、攻略環境はさらに拡大するかもしれない。

 アドビでは、修正版を来週公開する予定だが、それまでの間は、Flash Playerの無効化や一時的なアンインストール、実行時に許可を求めるようにブラウザを設定にするなどの安全策を講じておくことをお勧めする。

【関連URL】
・APSA15-01:Security Advisory for Adobe Flash Player[英文](Adobe)
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
・Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK[英文](Malware don't need Coffee)
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
・Adobe Flash Player に未確認のゼロデイ脆弱性(シマンテック)
http://www.symantec.com/connect/blogs/adobe-flash-player-0
・Flash Greets 2015 With New Zero-Day[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/trendlabs-security-intelligence/flash-greets-2015-with-new-zero-day/
・Flash 0-day being distributed by Angler Exploit Kit[英文](Websense)
http://community.websense.com/blogs/securitylabs/archive/2015/01/22/flash-0-day-being-distributed-by-angler-exploit-kit.aspx
・New Adobe Flash Zero-Day found in the Wild[英文](Malwarebytes)
https://blog.malwarebytes.org/exploits-2/2015/01/new-adobe-flash-zero-day-found-in-the-wild/

(2015/01/23 ネットセキュリティニュース)

投稿情報: 15:10 |

|