Adobeは本日、Flash Playerソフトウェアの重要なアップデートをリリースしました。このパッチは6件のセキュリティ脆弱性を修正しており、そのうち少なくとも1件は、現在悪用されているゼロデイ脆弱性です。
Adobe セキュリティ速報の詳細には、「このアップデートは、ユーザーが悪意のある Web サイトにアクセスした場合に、任意の Web サイトまたは Web メール プロバイダーでユーザーに代わってアクションを実行するために悪用される可能性のある、ユニバーサル クロスサイト スクリプティングの問題を解決します (CVE-2011-2444)」と説明されており、「注: 電子メール メッセージで配信された悪意のあるリンクをユーザーをクリックするように誘導することを目的としたアクティブな標的型攻撃で、この問題が実際に悪用されているという報告があります」と付け加えられています。
本日修正されたゼロデイバグは、6月に修正されたFlashの脆弱性に類似しています。偶然にも、6月の脆弱性と本日修正されたこの脆弱性は、どちらもGoogleからAdobeに報告されていました。
Flash のゼロデイ脆弱性が、Web サイトの正当性を認証するために使用されるデジタル証明書を侵害した Diginotar のハッキングと何らかの関係があるという公式の兆候はまだ見ていませんが、タイミングはほぼ適切であるように思われます。
広く使用されている Adobe Flash の欠陥が RSA Security に侵入し、RSA の SecurID 2 要素認証トークンで使用される暗号化キーを危険にさらすために悪用されたのと同様に、Flash は Diginotar にとってもアキレス腱だった可能性があります。
Adobe Flashはほぼ普遍的です。Adobe Flash Playerソフトウェアとブラウザプラグインは、ほぼすべてのオペレーティングシステムとブラウザで利用可能であるため、このゼロデイ脆弱性は世界中のPCの90~95%に影響を与える可能性があります。
nCircleのセキュリティオペレーションディレクター、アンドリュー・ストームズ氏は、点と点を結びつけて説明する。「Adobeは、本日のバグは『ウェブメールプロバイダーにおいてユーザーに代わって操作を行うために利用される可能性がある』と述べています。これは、このゼロデイバグを利用した攻撃が成功すれば、攻撃者がユーザーのGmailアカウントにアクセスできる可能性があると解釈できると思います。」
ストームズ氏は、「すべての IT チームが団結して、できるだけ早く Flash にパッチを適用すべき時が来ています」と訴えています。
ストームズの「ITチーム」に会って、「Flashを使う人全員」に声をかけてみよう。今すぐAdobe Flashのアップデートをダウンロードしてインストールしよう。
