Adobeは本日、先週発表されたFlash Player(およびAdobe ReaderとAdobe Acrobatで使用されるauthplay.dll要素)の重大なゼロデイ脆弱性を修正するアップデートをリリースしました。パッチ適用を始めましょう。
Flash Playerの脆弱性を悪用されると、攻撃者は標的のPCを完全に制御し、他の悪意のあるコードをインストールしたり、機密情報にアクセスしたりすることが可能になります。たとえ「失敗した」場合でも、システムをクラッシュさせる可能性があります。Adobeは、電子メールのMicrosoft Excel(XLS)ファイルに埋め込まれたFlash(SWF)ファイルを使用して、この脆弱性を狙った限定的な攻撃が実際に発生していると報告しています。
Adobe Reader および Adobe Acrobat を標的とした攻撃は今のところ確認されていません。しかし、両製品とも authplay.dll コンポーネントを使用して Flash コンテンツをレンダリングできるため、脆弱性が存在し、悪意のある PDF ファイルによってこの脆弱性が悪用される可能性が懸念されています。
本日のアップデートは、Flash Player(Flashサポートを統合したChromeウェブブラウザ、Acrobat、およびReaderのほとんどのバージョンを含む)に適用されます。Windows版Adobe Reader Xはアップデートをお待ちいただく必要があります。
Adobe Reader X for Windowsには、スクリプトやその他の実行可能コードが基盤となるプログラムやWindowsオペレーティングシステムとやり取りしたり、影響を与えたりできないように隔離するセキュリティサンドボックスが搭載されています。サンドボックスによる保護は完全なものではありませんが、追加のセキュリティレイヤーにより、authplay.dllを悪用しようとする攻撃が成功する可能性は極めて低くなります。
Adobe の Acrobat および Reader のセキュリティ速報では、「Adobe Reader X の保護モードにより、この種の脆弱性の悪用は実行できないため、Windows 版 Adobe Reader X の問題は、現在 2011 年 6 月 14 日に予定されている Adobe Reader の次の四半期セキュリティ更新で解決する予定です」と説明されています。
Adobe ReaderとAdobe Acrobatのアップデートは現在利用可能です。Adobeの広報担当者によると、Adobe Flash Playerのバージョンと、Flashサポートが統合されたChromeウェブブラウザのアップデートは、本日午後中に提供される予定です。
