ニュース

「Adobe Flash Player」にゼロデイ脆弱性 〜Adobe、修正版を5日にリリースへ

Windowsユーザーに対する標的型攻撃が確認されており、警戒が必要

同社が公開したセキュリティアドバイザリ(CVE-2018-4878)

 米Adobe Systemsは1日(現地時間)、「Adobe Flash Player」にリモートから任意のコードが実行可能な致命的な脆弱性(CVE-2018-4878)があるとして、セキュリティアドバイザリ(APSA18-01)を公開した。本脆弱性を悪用したWindowsユーザーに対する標的型攻撃も確認されているとのことで、警戒が必要だ。

 同社が公開したセキュリティアドバイザリによると、「Adobe Flash Player」v28.0.0.137(執筆時現在の最新版)およびそれ以前のバージョンには解放後メモリ利用(Use-after-free)の欠陥があり、リモートからコードを実行されてしまう可能性がある。Windows/Mac/Linux向けのデスクトップランタイム、「Google Chrome」用のプラグイン、「Microsoft Edge」および「Internet Explorer 11」向けのプラグインに影響し、深刻度は同社基準で3段階中最高の“Critical”。アップデートの適用優先度も、3段階中最高の“1(直ちに更新が必要)”に設定されている。

 同社は、本脆弱性を修正したバージョンを5日にリリースする予定。当面の回避策としては、“保護ビュー”の有効化などが案内されている。攻撃には「Microsoft Office」ドキュメントに悪質なFlashコンテンツを埋め込んでメールに添付する手法が用いられているとのことなので、不審なメールにはくれぐれも注意したい。