Adobeは、Flashに新たなゼロデイ脆弱性が悪用されていると発表してからわずか4日後、この脆弱性を修正するアップデート版をリリースしました。迅速な対応は称賛に値しますが、Adobeが速さを優先して品質を犠牲にしているわけではないことを願います。
Adobeは先週月曜日、Adobe Flashと、Adobe AcrobatおよびAdobe Readerで使用されるauthplay.dll要素にゼロデイ脆弱性が発見されたことを発表しました。この脆弱性は、Microsoft Word (DOC) またはExcel (XLS) の添付ファイルに埋め込まれた悪意のあるWebページまたはFlash (SWF) ファイルを使用した標的型攻撃で実際に悪用されていると報告されています。
しかし、今回のゼロデイ脆弱性の発覚で懸念されるのは、Adobeが1ヶ月前に発表し、急いでパッチをリリースしたFlashのゼロデイ脆弱性と非常に類似していることです。この2つに関連性があるかどうかは定かではありませんが、表面的には、Adobeが脆弱性の特定のベクトルに対するパッチリリースを急ぎすぎたため、根本的な欠陥を見逃し、攻撃者がAdobeのパッチを回避するために攻撃を迅速に再設計したのではないかと思われます。
Adobeは、Windows、Mac OS X、Linux、Solaris版のAdobe Flash 10.2.153.1以前のバージョンをご利用のお客様には、Adobe Flash Player 10.2.159.1へのアップグレードを推奨します。Windows、Mac OS X、Linux版のAdobe AIR 2.6.19120以前のバージョンをご利用のお客様には、AIR 2.6.19140への切り替えを推奨します。
Google ChromeにはFlashがブラウザに統合されており、ユーザーはパッチ適用済みのFlashを入手するにはChromeバージョン10.0.648.205にアップグレードする必要があります。Adobeは4月25日の週までAndroid向けFlashのアップデートをリリースする予定はありません。
Adobe ReaderおよびAdobe Acrobatの影響を受けるバージョンに対するアップデートも、4月25日の週までに提供される予定です。ただし、以前のゼロデイパッチと同様に、Adobeは6月に予定されている次回の四半期アップデートまで、Windows版Adobe Reader Xのアップデートを提供する予定はありません。Windows版Adobe Reader Xの保護モードサンドボックスセキュリティにより、あらゆるエクスプロイトの実行が阻止されます。
