アドビシステムズは7日、コンテンツ再生ソフト「Flash Player」の最新版「30.0.0.113」を公開した。攻撃への悪用が確認されている問題を汲む4件の脆弱性が修正されており、同社はアップデートを呼びかけている。
脆弱性の影響を受けるのは、Windows版、Macintosh版、Linux版、Google Chrome搭載版、Internet Explorer/Edge搭載版の「29.0.0.171」以前のバージョン。アップデート後は「30.0.0.113」となる。
システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。
Google Chromeに搭載されているFlash Playerについては、同日公開の「67.0.3396.79」とともに自動更新機能を通じて配信されている。
Windows 8.1/10に搭載されているInternet Explorer 11およびEdge用のFlash Playerについては、Windows Updateを通じて配信されている。
■ゼロデイ攻撃の概要とActiveX版Flash Player
攻撃に悪用されたのは、修正された4件の脆弱性のうちのひとつで、スタックベースのバッファオーバーフローが発生する問題(CVE-2018-5002)である。脆弱性を報告した中国のセキュリティ企業Qihoo 360(奇虎360)の発表によると、今月1日、細工したSWFファイルを埋め込んだExcelファイルを使い、マルウェアに感染させる限定的な攻撃が中東で行われたのを確認したという。
Flash Playerは、Web上のコンテンツ再生に使われており、一般にはブラウザのプラグインとして知られている。主要なブラウザに組み込まれているほか、OS別に各種ブラウザ向けのプラグインが用意されており、Windows向けには、主にFirefoxに使われているNPAPI(Netscape Plugin Application Programming Interface)版、主にOperaに使われるPPAPI(Pepper Plugin Application Programming Interface)版、Windows 7/Vista/XP上のInternet Explorerに使われるActiveX版の3種類が提供されている。
このうちのActiveX版に関しては、Microsoft OfficeをはじめとするWindowsアプリでも利用することができ、文書ファイルに埋め込んだ、あるいはリンクしたFlashコンテンツを文書上で再生することができる。Flashs Playerを使用しているつもりがなくても、システムにActiveX版がインストールされていると、文書ファイル経由で攻撃されることがあるので注意したい。特に必要がなければ、アンインストールしておくことをお勧めする。
ActiveX版がインストールされた環境でも、現在のMicrosoft Office(2010以降)は、ネット上からダウンロードしたファイルやメールの添付ファイルを開く際に、ほとんどの機能を無効にした「保護ビュー」という特別なモードで開くようになっている。保護ビューで開いた文書には、メッセージバーに警告メッセージが表示され、「編集を有効にする」をクリックして保護ビューを解除しない限り、ActiveXは有効にならない。
(2018/06/08 ネットセキュリティニュース)
【関連URL】
・Security updates available for Flash Player | APSB18-19[英文](アドビシステムズ)
https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
・Stable Channel Update for Desktop[英文](グーグル)
https://chromereleases.googleblog.com/2018/06/stable-channel-update-for-desktop.html
・Adobe Flash Player のセキュリティ更新プログラム: 2018 年 6 月 7日(マイクロソフト)
https://support.microsoft.com/ja-jp/help/4287903/security-update-for-adobe-flash-player