米国 Adobe は4月28日、Flash Player に対する緊急アップデートをリリースした。すでに攻撃が確認されている脆弱性に対応している。

Adobe、Flash Player を緊急アップデート ― 標的はシリア反政府勢力の使用する Firefox ブラウザ?
このアップデートで対応される脆弱性は、「CVE-2014-0515」として認識されている、バッファオーバーフローに関するものだ。Adobe のセキュリティアドバイザリには次のようにある。

「Adobe は CVE-2014-0515 を悪用した攻撃が横行しており、Windows プラットフォーム向け Flash Player がその標的となっているという報告を受けた」

攻撃が確認されているのは Windows 版 Flash Player だが、脆弱性は13.0.0.201 およびそれ以前のバージョンの Apple Macintosh OS X 版、そして11.2.202.350 およびそれ以前のバージョンの Linux 版にも存在する。

Adobe によれば、脆弱性を発見し Adobe に報告したのはロシア Kaspersky Lab だったという。Kaspersky Lab の Vyacheslav Zakorzhevsky 氏は Blog への投稿で、脆弱性は水飲み場攻撃に悪用されていたと指摘している。その標的は、シリアの反政府勢力だったようだ。

「我々は、攻撃はシリア政府に不満を持つ反体制派を標的にしていたと考えている」

被害者の総数は明らかになっていないが、これまでにおよそ30件の感染が Kaspersky 製品によって検知されていると、Zakorzhevsky 氏は述べている。感染はすべてシリアで発生しており、被害者は全員 Mozilla Firefox ブラウザを利用していた。

私にとって非常に興味深いのは、Firefox は Adobe Flash をブラウザに直接統合してはいないという点だ。Microsoft Internet Explorer や Google Chrome のように、Flash がブラウザに統合されていると、ブラウザがアップデートされたとき、Flash も同時にアップデートされる。だが今回 Kaspersky が発見した攻撃は、パッチが適用されていない古いバージョンの Flash を悪用したものではなく、最新版の Flash に存在したゼロデイ脆弱性だった。

Google Chrome 利用者は、自動的に最新の Adobe Flash Player にアップデートされる。Microsoft IE 10 および 11 利用者は、Microsoft の Update サービスからブラウザをアップデート可能だ。旧バージョンの IE ユーザーや Mozilla Firefox ユーザーは、Flash Player のダウロードセンターから最新版を入手できる。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。