Flash Playerに新たなゼロデイ脆弱性、アドビがパッチを公開
クロスサイト・スクリプティングのバグを突いた標的型攻撃の存在をGoogleが報告
米国Adobe Systemsは2月15日、「Flash Player」に深刻なゼロデイ脆弱性が発見されたことを発表し、7件のパッチを公開した。そのうちの1件は、ハッカーが「標的型攻撃」に利用しているとGoogleの研究員が報じた、クロスサイト・スクリプティング(XSS)の脆弱性に関連するものだ。
Adobeのセキュリティ・アドバイザリは、今回のアップデートで一般的なクロスサイト・スクリプティングの問題を解消できるとしている。
XSSの脆弱性が攻撃に使用された場合、ユーザーが悪意のあるサイトにアクセスすると、WebサイトやWebメールのプロバイダ上でユーザーになりすまし、コードを実行することが可能だという。すでに「この脆弱性を悪用し、電子メール内の悪意のあるリンクをユーザにクリックさせる事例」が報告されている。
なお、この攻撃はMicrosoftのInternet Explorer(IE)用プラグインに存在するXSS脆弱性を突くため、Windows版IEを利用している場合にのみ有効だ。
また、XSSの脆弱性と同様、緊急度が最も高い「クリティカル」に分類されたその他6件の脆弱性は、メモリ破損、あるいはセキュリティ・バイパスにつながるもので、「アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性がある」という。
Adobeは問題の指摘に協力したGoogleなどに対する謝辞を掲載しているが、この攻撃に関してGoogleが脆弱性報告を伝えた時期や、ハッカーがこの脆弱性を悪用していた期間については触れていない。
これらの脆弱性を修正するため、同社はWindows版、Mac OS版、Linux版、Solaris版およびAndroid版の「Flash Player 11」と「Flash Player 10」をアップデートした。
(Gregg Keizer/Computerworld米国版)
