AdobeはAdobe Flashに重大なゼロデイ脆弱性を発見しました。これは1週間足らずで2件目です。この脆弱性はAndroidモバイルOS上のAdobe Flashにも及んでおり、スティーブ・ジョブズがiPhoneとiPadでFlashを禁止した理由の少なくとも1つを裏付けています。
Adobeの広報担当者から連絡があり、「Windows、Macintosh、Linux、Solaris、Androidオペレーティングシステム向けのAdobe Flash Player 10.1.82.76以前のバージョンに重大な脆弱性が存在します。この脆弱性は、Windows、Macintosh、UNIX向けのAdobe Reader 9.3.4、およびWindowsおよびMacintosh向けのAdobe Acrobat 9.3.4以前のバージョンにも影響を及ぼします」とのことでした。
簡単に言えば、この重大な欠陥を悪用されると、影響を受けるシステムがクラッシュする可能性があり、さらには攻撃者がシステムにアクセスして制御し、悪意のあるソフトウェアをさらに実行できるようになる可能性もあります。この脆弱性がAdobe Flash Playerに対して積極的に悪用されているという報告がありますが、Adobeは今のところAdobe ReaderやAcrobatに対してこの脆弱性を悪用した攻撃を確認していません。
Adobeの広報担当者は、「Adobeは、この脆弱性(そして一般的な脆弱性)に関する情報をセキュリティコミュニティのパートナーと積極的に共有し、パッチがリリースされるまでの間、ユーザーを保護するための検出および隔離方法を迅速に開発できるよう努めています。Adobeは、ユーザーの皆様には、常にセキュリティのベストプラクティスに従い、マルウェア対策ソフトウェアと定義ファイルを最新の状態に保つことを推奨します」と説明しました。
これらのベストプラクティスは、従来のデスクトップコンピューティングプラットフォームでは長年確立されていますが、AndroidスマートフォンでAdobe Flashを使用しているユーザーは、どの「ベストプラクティス」が自分たちを保護できるのか疑問に思うかもしれません。スマートフォンは手のひらサイズのポータブルコンピュータへと進化し、処理能力とストレージ容量は攻撃対象として十分な大きさになっていますが、スマートフォンのセキュリティはデスクトップやノートパソコンほど進化していません。
マイクロソフトがソフトウェア開発プロセスを改善し、Windowsオペレーティングシステムやその他のアプリケーションに新たなセキュリティ対策を実装するにつれ、攻撃者は脆弱性を突くために他の企業に目を向けるようになりました。Adobeは、マイクロソフトほど成熟していないセキュリティ対策と、ほぼすべてのプラットフォームで利用可能な脆弱性を抱えたソフトウェアを擁しており、事実上どこにでも存在する、簡単に攻撃を仕掛けられる存在として浮上しました。
iPhoneとiPadは、AppleがiOS向けAdobe Flashを公然と拒否したことにより、他のスマートフォンやタブレットプラットフォームとは一線を画しています。真の理由はiAdと開発者コミュニティへのより厳格な統制を狙っている可能性が高いものの、セキュリティ上の懸念も指摘されています。Adobe Flashを搭載したAndroidスマートフォンに影響を与える可能性のある今回のゼロデイ脆弱性は、この選択の賢明さを物語っていると言えるでしょう。
Adobe のセキュリティ アドバイザリには、「現在、この問題の修正を最終調整中で、2010 年 9 月 27 日の週に Windows、Macintosh、Linux、Solaris、Android オペレーティング システム用の Adobe Flash Player のアップデートを提供する予定です。また、2010 年 10 月 4 日の週に Windows、Macintosh、UNIX 用の Adobe Reader 9.3.4 と Windows および Macintosh 用の Adobe Acrobat 9.3.4 のアップデートを提供する予定です」と記載されています。
