Flashに新たな脆弱性、悪用した攻撃もすでに発生
アドビも存在を確認、早急に対応へ米国Adobe Systemesは7月21日、Flashに潜む重大な脆弱性について調査を行っていることを明らかにした。この脆弱性を利用した攻撃も確認したとしている。
Adobeは、21日付の同社セキュリティ・ブログへのエントリーで、この問題に言及。同社製品セキュリティ/プライバシー担当ディレクターのブラッド・アーキン(Brad Arkin)氏は、「Adobe Reader、Acrobat 9.1.2、Adobe Flash Player 9および10に含まれる潜在的な脆弱性に関して報告が出ていることは認識しており、現在この問題について調査を行っている」と述べている。
22日にはAdobeの広報担当者も、PDFファイルに挿入されたFlashコンテンツの問題がこの脆弱性の原因であることを確認したと語った。Flashの動画は、PDFファイルなどに組み込むことができる。
また、Twitterにポストされた21日付のメッセージによると、VeriSignのセキュリティ情報サービスであるiDefenseが、Flashに含まれるこのゼロディ・バグ(脆弱性対策が施されていないバグ)を利用した攻撃を察知したという。
「PDFファイルの中に埋め込まれたFlashのゼロデイ・エクスプロイトを使い、特定のターゲットを狙って行われた攻撃について、iDefenseが最近調査を行った」(Twitterのメッセージより)
このゼロデイ・バグを利用した攻撃に関して、iDefenseは今のところ詳細な情報を明らかにしていない。一方、Adobeの広報担当者は、できるだけ早く、このFlash-PDFの脆弱性に関する詳細な情報を自社のセキュリティ・ブログに掲載するとしている。
今年に入り、Adobe製品では相次いでセキュリティ上の問題が見つかっており、とりわけ広く普及しているPDFビューワの「Reader」で問題が多発している。3月には、Readerに含まれる複数のセキュリティ・ホールに対策が施され(この中には、1月初めからクラッカーに利用されてきたものも含まれている)、さらに5月と6月にも、Readerのゼロデイ・バグ1件とその他のバグ13件に対処するためのアップデートが行われた。
デンマークのセキュリティ・ベンダーであるSecuniaは、AdobeがReaderの古いバージョンを今もダウンロード可能な状態にしている点を取り上げ、セキュリティの面で問題があると指摘した。これを受けAdobeは、ソフトウェア・アップデート機能の運用方針を見直していることを21日に明らかにしている。
(Gregg Keizer/Computerworld米国版)
