『Adobe Flash Player』に未修正の脆弱性見つかる

Adobe Systems の『Adobe Flash Player』には、修正されないまま野放しになっているセキュリティ上の欠陥がある。これこそまさに、ゼロデイ攻撃の標的になっている脆弱性だ。

メーリングリスト『Bugtraq』を運営する Security Focus が27日に公開したレポートによれば、この脆弱性を悪用することで、影響を受けるアプリケーションと関連させて任意コード実行に至る可能性があるほか、そうした攻撃が失敗に終わった場合でも、サービス不能化状態に陥るおそれがあるという。

SANS Internet Storm Center (ISC) は、この脆弱性を悪用している悪意あるサイトが活動中との報告を出した。ISC のハンドラ Adrien de Beaupre 氏は、JPEG 形式の画像ファイルを装い、同脆弱性を悪用している特定サイトの詳細について解説を掲載した。

Security Focus の最新情報によれば、同脆弱性による影響は広がっており、およそ2万にのぼる Web ページに悪意あるコードが混入しているという。

Security Focus のレポートには、次のような記述がある。「ほぼ間違いなく SQL インジェクション攻撃により、サードパーティのドメイン (約2万の Web ページ) に悪意あるコードが挿入されている。そしてこのコードが、該当の脆弱性を突く Flash ファイルを備えたサイトにユーザーをリダイレクトする」

これは些細な脆弱性ではない。Adobe が適切な対策を講じ、一刻も早くこの脆弱性を修正することに期待したい。