情報処理推進機構(IPA)は2015年7月13日、Windows版やMac版などの「Adobe Flash Player」の最新バージョンおよびそれより前のバージョンに脆弱性があるとして、注意喚起する文書を出した。細工されたWebサイトを閲覧すると、第三者に任意の命令を実行される可能性がある。米アドビシステムズは、この脆弱性の深刻さを4段階中最悪の「致命的」と位置付けている。7月13日時点で修正プログラムは公開されておらず、Flash Playerをアンインストールするか無効化する以外に対策はない(画面)。
IPAの注意喚起は、アドビシステムズの7月10日から12日にかけての発表を受けたもの。アドビシステムズが脆弱性があるとしているのは下記のソフトである。
●Adobe Flash Player
18.0.0.203およびそれより前のバージョン(Windows版、Mac版)
●Adobe Flash Player
18.0.0.204およびそれより前のバージョン(Google ChromeがインストールされたLinux版)
●Adobe Flash Player Extended Support Release
13.0.0.302およびそれより前の13.xのバージョン(Windows版、Mac版)
●Adobe Flash Player Extended Support Release
11.2.202.481およびそれより前の11.xのバージョン(Linux版)
Webブラウザーにインストールして使うプラグイン型のFlash Playerに加えて、Google Chrome、Windows 8のInternet Explorer 10、Windows 8.1のInternet Explorer 11に統合されたFlash Playerも、この脆弱性の影響を受ける。
アドビシステムズは今週中(2015年7月18日まで)に修正プログラムを公開するとしている。IPAは、現時点で広範囲な攻撃は確認されていないとする一方で、「攻撃コードが公開されているとの情報があるため、標的型攻撃のリスクが懸念される組織においては、修正プログラムが公開されるまで一時的にFlash Playerのアンインストールや無効化などの緩和策を実施してほしい」と呼び掛けている。
[情報処理推進機構(IPA)の発表資料]
[米アドビシステムズの発表資料(英語)]
※記事公開後、7月14日午後に修正プログラムが公開されました:Adobe Flash Playerの更新版を緊急リリース、ゼロデイ脆弱性に対応 [2015/07/14 23:00]
