Adobeは、Flash Playerに発見された重大な脆弱性に対応するため、セキュリティアドバイザリを公開しました。この脆弱性は、Windows、Mac OS X、Linux、Solaris、Android版のFlash Playerに影響し、Adobe AcrobatおよびAdobe Reader Xに含まれるauthplay.dllコンポーネントにも影響を与えます。
Flashの脆弱性が悪用されると、システムがクラッシュしたり、攻撃者が影響を受けたシステムを完全に制御できる可能性があります。Adobeによると、この脆弱性は、Microsoft Excel(XLS)形式の電子メール添付ファイルに埋め込まれた悪意のあるFlashファイル(SWF)を用いた標的型攻撃で積極的に悪用されているとのことです。Adobe AcrobatやAdobe Readerを標的とした攻撃の報告はまだありませんが、AdobeはReader Xの保護モードサンドボックスにより、この悪意のあるエクスプロイトの実行が阻止されると強調しています。
Adobeは脆弱性の修正に取り組んでいます。Flash Player、Acrobat、および一部のReaderバージョンのアップデートは来週中に提供される予定です。ただし、Windows版Adobe Reader Xのサンドボックス保護により、この脆弱性の悪用は阻止されるため、Adobeは6月14日に予定されている次回の四半期定期アップデートまでソフトウェアのアップデートは行いません。
Adobe Secure Software Engineering Team (ASSET) のブログ投稿では、「Adobe Reader X についても、サイクル外アップデートの提供を検討しましたが、その場合、現在のパッチリリーススケジュールがさらに 1 週間ほど遅れることになります」と説明されています。さらに、「しかし、Adobe Reader X サンドボックスによって提供される緩和策と PDF 経由の攻撃が存在しない状況を考慮し、サイクル外アップデートは、特に大規模な管理環境を持つお客様にとって、関連するリスクに見合わない、ユーザーに不要な変更とパッチ管理のオーバーヘッドをもたらすと判断しました」と付け加えています。
パフォーマンスやバッテリー消費の潜在的な問題はさておき、Adobe Flash によってもたらされた根強いセキュリティ上の懸念は、iPhone や iPad などのさまざまな iOS ベースのモバイル デバイスでこの人気のフォーマットをサポートしないという Apple の決定を擁護し、強化しているように思われます。
Motorola Xoom がついに Adobe Flash 対応を開始しました。しかし、Android タブレットに Adobe Flash サポートをインストールしたい Motorola Xoom ユーザーは、修正版を待つことを検討した方が良いかもしれません。
