「Adobe Flash Player」にゼロデイ脆弱性 〜Adobe、修正版を5日にリリースへ

同社が公開したセキュリティアドバイザリ（CVE-2018-4878）

　米Adobe Systemsは1日（現地時間）、「Adobe Flash Player」にリモートから任意のコードが実行可能な致命的な脆弱性（CVE-2018-4878）があるとして、セキュリティアドバイザリ（APSA18-01）を公開した。本脆弱性を悪用したWindowsユーザーに対する標的型攻撃も確認されているとのことで、警戒が必要だ。

　同社が公開したセキュリティアドバイザリによると、「Adobe Flash Player」v28.0.0.137（執筆時現在の最新版）およびそれ以前のバージョンには解放後メモリ利用（Use-after-free）の欠陥があり、リモートからコードを実行されてしまう可能性がある。Windows/Mac/Linux向けのデスクトップランタイム、「Google Chrome」用のプラグイン、「Microsoft Edge」および「Internet Explorer 11」向けのプラグインに影響し、深刻度は同社基準で3段階中最高の“Critical”。アップデートの適用優先度も、3段階中最高の“1（直ちに更新が必要）”に設定されている。

　同社は、本脆弱性を修正したバージョンを5日にリリースする予定。当面の回避策としては、“保護ビュー”の有効化などが案内されている。攻撃には「Microsoft Office」ドキュメントに悪質なFlashコンテンツを埋め込んでメールに添付する手法が用いられているとのことなので、不審なメールにはくれぐれも注意したい。