「Adobe Flash Player」にNULLポインターデリファレンスの脆弱性 ～修正版が公開

「Adobe Flash Player」v32.0.0.445

　米Adobe Systemsは10月13日（現地時間）、同社製品の月例セキュリティ情報を発表した。今月は「Adobe Flash Player」が対象。「Adobe Flash Player」で脆弱性の修正が行われるのは、今年の2月以来だ。

　今回のアップデートで修正された脆弱性は1件で、NULLポインターデリファレンスにより任意コードの実行が可能になるというもの（CVE-2020-9746）。深刻度は“Critical”と評価されている。

　影響範囲はデスクトップランタイム（Windows/Mac/Linux）および「Google Chrome」用プラグイン（Windows/Mac/Linux/Chrome OS）のv32.0.0.433およびそれ以前のバージョンと、「Microsoft Edge」「Internet Explorer 11」用のプラグイン（Windows 8.1/10）のv32.0.0.387およびそれ以前のバージョン。

　同社はLinux版デスクトップランタイムを除くすべてのプラットフォームで更新プログラムの適用優先度を最高レベルの“2”とし（Linux版デスクトップランタイムは“3”）、できるだけ早い最新版（v32.0.0.445）へのアップデートを推奨している。

　「Adobe Flash Player」の最新版は、現在同社のWebサイトから無償でダウンロード可能。自動更新機能が有効になっていれば、通常24時間以内に自動でアップデートされる。「Internet Explorer 11」および「Microsoft Edge」用のプラグインは“Windows Update”から更新可能。また、「Google Chrome」用のプラグインも自動で最新版へ更新される。

　なお、「Adobe Flash Player」は今年末で更新と提供を終了する予定。その後はOSやWebブラウザーからも削除される。代替ソリューションへの移行を急ぎたい。