Adobe Flash Playerの未修正の脆弱性を悪用した攻撃が発生している問題で、アドビシステムズは25日、自動更新機能を通じ、この問題を修正したFlash Playerの最新版「16.0.0.296」の配布を開始したと発表した。
攻撃に悪用されているのは、Windows版とMacintosh版の16.0.0.287以前のバージョン、13.0.0.262以前のバージョン、Linux版の11.2.202.438以前のバージョンに影響する、深刻なコード実行の脆弱性(CVE-2015-0311)である。Windows環境の閲覧者のパソコンにマルウェア(ウイルス)を強制的にインストールしようとする攻撃に、この脆弱性が悪用されているとの報告が、セキュリティ研究者のkafeine氏からあり、セキュリティ企業などが注意を呼びかけていた。
アドビシステムズは、修正版の配布を今週と予告していたが、ひと足早く自動更新に載せたらしく、編集部でも昨夜、Windows 7環境の「16.0.0.287」が最新の「16.0.0.296」にアップデートされたことを確認している。
26日午後現在、同社のダウンロードサイトやバージョン確認ページはまだ更新されていないが、現地での業務が始まる今夜から明日にかけて、手動で更新することもできるようになると思われる。同社は、パートナー企業とも協力しているとしており、Google ChromeおよびWindows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについても、準備が整い次第アップデートされる予定だ。
Flash Playerの自動更新は、特に変更していなければ標準で有効に設定されており、パソコンの起動中は1時間おきに自動的に更新チェックが行われる。Flash Playerが使用中だと更新できないので、ブラウザを閉じた状態で待機していただきたい。
システムにインストールされているFlash Playerのバージョンは、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できるほか、下記「Flash Playerのバージョン確認」のページにアクセスすると、そのブラウザで有効なFlash Playerのバージョンが確認できる。複数のブラウザを使用している場合は、ブラウザごとにFlash Playerのバージョン確認とアップデートを行う必要がある。
最新版への更新は、今のところ同社から直接配布されているプラグイン版の自動更新のみだが、準備が整い次第、下記「Flash Playerのダウンロード」ページでもダウンロードできるようになる。Google Chrome用のFlash Playerについては、Google Chromeの自動更新を通じて、Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlashPlayerについては、Windows Updateを通じて配布されることになっており、準備が整い次第、自動的に更新される予定だ。
今回は、未修正の脆弱性を悪用する攻撃コードが汎用の攻撃ツールに組み込まれるという、極めて危険な状態なので、Flash Playerの一時的なアンインストールや無効化、実行時に許可を求めるようにブラウザを設定にするなどの方法で急場をしのぎ、最新版が入手できるようになり次第、速やかにアップデートしていたきだたい。
(2015/01/26 ネットセキュリティニュース)
【関連URL】
・APSA15-01:Security Advisory for Adobe Flash Player[英文](Adobe)
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/