ゼロデイ脆弱性を修正した「Adobe Flash Player 32」が公開 ～攻撃への悪用も確認

「Adobe Flash Player」v32.0.0.101

　米Adobe Systemsは12月5日（現地時間）、「Adobe Flash Player」の最新版v32.0.0.101を公開した。ゼロデイ脆弱性を修正した緊急のセキュリティアップデートとなっている。

　同社が公開したセキュリティ情報（APSB18-42）によると、v31.0.0.153およびそれ以前のバージョンにはメモリの解放後利用（Use after free）の欠陥（CVE-2018-15982）があり、現在のユーザーコンテキストで任意のコードが実行される可能性がある。深刻度は同社基準で最高の“Critical”。

　この脆弱性は標的型攻撃への悪用が確認されているため、警戒が必要だ。セキュリティベンダーMalwarebytesによると、診療所のアンケートに偽装したOfficeドキュメントがロシアで発見されているという。最近はWebブラウザーでの「Flash」利用率が減少しているため、Office文書に埋め込まれたActiveXコントロールを介した攻撃が主流となりつつあるようだ。

診療所のアンケートに偽装したOfficeドキュメント（Malwarebytesのブログより引用）

　そのほかにも、本バージョンではWindows版のインストーラーが安全でないDLLを読み込んでしまうDLLハイジャックの欠陥（CVE-2018-15983）も修正されている。特権昇格を招く恐れがあるとして、深刻度は“Important”と評価されている。

　これらの脆弱性の影響範囲は、デスクトップランタイム（Windows/Mac/Linux）、「Google Chrome」用プラグイン、「Microsoft Edge」「Internet Explorer 11」用のプラグイン（Windows 8.1/10）。同社はLinux版デスクトップランタイムとWindows版インストーラーを除くすべてのプラットフォームで更新プログラムの適用優先度を最高レベルの“1”とし、できるだけ早いアップデートを推奨している（Windows版インストーラーの適用優先度は“2”、Linux版は“3”）。

　「Adobe Flash Player」の最新版は、現在同社のWebサイトから無償でダウンロード可能。自動更新機能が有効になっていれば、通常24時間以内に自動でアップデートされる。「Internet Explorer 11」および「Microsoft Edge」用のプラグインは“Windows Update”から更新可能。また、「Google Chrome」用のプラグインも自動で最新版へ更新される。