Sophosは12月7日(米国時間)、「Flash zero-day exploit spotted – patch now! |Naked Security by Sophos」において、Adobe Flash Playerにゼロデイのセキュリティ脆弱性が発見されたと伝えた。Qihoo 360によって発見されたと説明がある。
Adobe Systemsは対象の脆弱性やアップデート版に関する情報を次のページで紹介している。
-
Adobe Security Bulletin|Security updates available for Flash Player | APSB18-42
脆弱性の影響をうけるアプリケーションとそのバージョンは以下の通り。
- Adobe Flash Player Desktop Runtime 31.0.0.153とそれより古いバージョン(Windows, macOS and Linux)
- Adobe Flash Player for Google Chrome 31.0.0.153とそれより古いバージョン(Windows, macOS, Linux and Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 31.0.0.153とそれより古いバージョン(Windows 10 and 8.1)
- Adobe Flash Player Installer 31.0.0.108 and earlier Windows
Adobeからは脆弱性を修正したバージョンが公開されているが、記事では対策方法としてアップデートではなくアンインストールを推奨している。さらに、ブラウザでFlashコンテンツを無効にするよりも先に、オペレーティングシステムからFlashを削除することを推奨している。
主要WebブラウザベンダーはFlashコンテンツがクラッシュの原因や脆弱性の原因の1つになっているとして、長期にわたり規制を強める取り組みを進めている。しかし、Microsoft Officeといったアプリケーションでは依然としてFlashコンテンツを読み込んで実行することが可能で、こうした仕組みが攻撃に悪用されているため注意が必要。
