Adobeは、Adobe Flashのゼロデイ脆弱性に対処するため、再びソフトウェアアップデートをリリースしました。AdobeはすでにAdobe Flash自体のアップデート版をリリースしていますが、本日、Flashの脆弱なコンポーネントに依存するAcrobatとReaderのアップデート版もリリースしました。
アップデートは予想よりも早く提供されましたが、これはおそらく、実際に確認されている新たな脆弱性への対応策と思われます。Adobeのセキュリティアドバイザリでは、「この脆弱性は、Adobe Flash Player、Adobe Reader、Adobe Acrobatの両方に対して、またWindowsプラットフォームを標的とした電子メールの添付ファイルとして配信されるMicrosoft Word (.doc) またはMicrosoft Excel (.xls) ファイルに埋め込まれたFlash (.swf) ファイルを介して、実際に悪用されているという報告があります」と説明されています。
QualysのCTO、Wolfgang Kandek氏は、最近のブログ投稿で現在の脅威について説明しています。Kandek氏によると、悪意のあるWord文書の添付ファイルは通常、ユーザーを誘い込むために、一見正当そうな名前が付けられています。しかし、ユーザーが添付ファイルを開くとすぐに、Flashのゼロデイ脆弱性が悪用され、リモートコントロールエージェントがインストールされ、次に本物のコンテンツを含む別のWord文書が開かれます。巧妙なのは、これら全てが瞬く間に、ほとんどのユーザーが気付くよりもはるかに速いスピードで実行されることです。
Flashの連続するゼロデイ脆弱性の類似性は、それらが関連していることを示唆しており、Adobeが最初のパッチリリースを急ぎすぎたために脆弱性の重要な要素を見落とした可能性を示唆していると指摘しました。しかし、Adobeの広報担当者は、2つのFlash脆弱性は全く無関係であると強調し、「2つの脆弱性は、コードの全く異なる部分と、異なるActionScript仮想マシン(AVM)に存在していました」と説明しています。
影響を受けるソフトウェアには、Windows版Adobe Reader X(10.0.1)およびそれ以前のバージョン、Macintosh版Adobe Reader X(10.0.2)およびそれ以前のバージョン、WindowsおよびMacintosh版Adobe Acrobat X(10.0.2)およびそれ以前のバージョンが含まれます。これらの製品をご利用のお客様は、できるだけ早く更新版ソフトウェアをダウンロードしてインストールすることを強くお勧めします。
Adobe は、Adobe Reader X の Windows 版にパッチを当てる 6 月の通常の四半期アップデート サイクルまでまだ待機しています。Adobe は、Windows 版 Reader X の保護モード サンドボックス セキュリティにより、いかなるエクスプロイトの実行も防止されるため、アウトオブバンド アップデートの開発を優先事項とは考えていないと述べています。
