一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は13日、Adobe Flash Playerのゼロデイ脆弱性に注意を喚起した。この脆弱性を悪用したコンテンツをユーザーが開いた場合クラッシュが発生し、攻撃者が対象システムを制御できる恐れがある。
今回注意を呼びかけられた脆弱性は、米Adobe SystemsでCVE番号CVE-2015-5122、CVE-2015-5123が割り振られているもの。深刻度は4段階中最も高い「Critical」。13日現在でセキュリティ更新プログラムは公開されておらず、JPCERT/CCは国内でCVE-2015-5122の脆弱性を悪用した攻撃が行われていることを確認済みという。米Adobe Systemsでは現地時間12日の週に緊急で修正パッチを配布する予定。
Flash Playerの対象バージョンは下記の通り。
- Adobe Flash Player 18.0.0.203およびそれ以前(Windows、Mac)
- Adobe Flash Player 18.0.0.204およびそれ以前(Linux環境のGoogle Chrome)
Flash Playerは9日にも36件の脆弱性を修正した更新プログラムを配布したばかり。JPCERT/CCでは、セキュリティ更新プログラム配布までの暫定対策として、Internet Explorer(IE)のセキュリティのレベルを「高」に設定すること、また、EMET(Microsoft Enhanced Mitigation Experience Toolkit)でIEを対象に追加することを推奨している。