アドビシステムズは2日、Flash Playerの未修正の脆弱性を悪用した攻撃が発生しているとして注意を呼びかけた。脆弱性は今週中に修正される予定だが、それまでは、無効化するなどの安全策を講じておくことをお勧めする。
同社のセキュリティアドバイザリによると、悪用されているのは、先週公開されたばかりのWindows/Macintosh/Linux版の最新版および以前のバージョンに影響する、コード実行の脆弱性(CVE-2015-0313)で、システムを乗っ取られる深刻な事態を招くおそれがある。同社では、Windows 8.1上のInternet Explorer(IE)とFirefoxを狙った攻撃が行われているとの報告を受けており、問題を修正した最新版へのアップデートを今週中に行うことを予定している。
この脆弱性を悪用した攻撃は、先週から行われていたようで、トレンドマイクロのブログによると、動画共有サービスに配信されていた広告から、細工された攻撃用のSWFファイルを再生するように仕向けられていたらしい。標的になっている環境でこのファイルを再生してしまうと、マルウェア(ウイルス)が強制的にインストールされてしまうおそれがある。
脆弱性攻撃の規模や国内への影響については不明だが、アップデートが行われるまでの間は、Flash Playerを一時アンインストールするか、ブラウザの設定で無効にしておくことをお勧めする。Flash Playerがインストールされているかどうかは、下記「Flash Playerのバージョン確認」のページにアクセスすると確認できる。
■Windows 8/8.1上のIEを無効化する方法
攻撃対象とされているWindows 8.1上のIEの場合には、Flash PlayerがIEに組み込まれているので注意していただきたい。一時的に他のブラウザに変更するか、Flash Playerを無効にした状態で利用することをお勧めする。
Flash Playerの無効化は、アドオンの管理で行う。歯車の形をしたメニューアイコンをクリックし、[アドオンの管理] を選択する。[すべてのアドオン]を選択して[ツールバーと拡張機能]を表示すると、一覧の中に[Shockwave Flash Object]が見つかるだろう。これがIEに組み込まれたFlash Playerのアドオンだ。これを選択して[無効にする]ボタンを押すと、Flash Playerが無効になる。無効化したアドオンは、[有効にする]で元の有効の状態に戻る。
(2015/02/03 ネットセキュリティニュース)
【関連URL】
・APSA15-02:Security Advisory for Adobe Flash Player[英文](Adobe)
http://helpx.adobe.com/security/products/flash-player/apsa15-02.html
・Adobe Flashの新たなゼロデイ脆弱性を確認、不正広告に利用(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/10837
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/