『Flash Player』、修正パッチ提供もさらなる脆弱性の懸念

Adobe Systems の『Flash』アプリケーションは、リッチ マルチメディア アプリケーションの作成や閲覧にとても便利な一方、攻撃者に悪用される危険性が非常に高いため、セキュリティ研究者がもっとも懸念しているアプリケーションの1つに数えられている。Adobe は2月下旬、また1つ新たな脆弱性を発見し、パッチをリリースしたばかりということもあり、Flash は現在、さらに厳しい監視の下に置かれている。

IBM が2006年に買収した Internet Security Systems (ISS) の研究開発チーム X-Force で、危機対応担当マネージャを務める Holly Stewart 氏は取材に対し、Eメールで次のように回答を寄せた。「われわれは、Adobe Flash の脆弱性に関する調査に膨大な時間を費やしている。なぜなら、問題が改善されるよりも前に、悪化すると見ているからだ」

Stewart 氏によれば、2008年末の時点で、すべての悪意あるリンクのうち15％は、マルウェアが仕組まれた Flash 動画に対するものだったという。同氏はさらに、ほとんどのユーザーは Adobe アプリケーション向けのセキュリティ修正パッチを提供開始直後に適用しないため、依然として Flash の脆弱性による犠牲者となり続けていると付け加えた。

新たに見つかった脆弱性について Adobe は、24日にセキュリティ情報を開示し、修正パッチ『APSB09-01』を提供している。これによると、攻撃者がこの脆弱性を悪用することにより、バッファ オーバーフローを通じてシステムを乗っ取られる可能性があるという。同脆弱性の影響を受けるのは、『Flash Player 10.0.12.36』およびそれ以前のバージョンとされている。

同セキュリティ情報では、攻撃者がこの脆弱性を悪用するには、ユーザーが事前に悪意ある『Shockwave Flash (SWF)』ファイルを Flash Player にロードしておく必要があると説明している。SWF ファイルには、アニメーションやさまざまな機能のアプレットを含めることができる。

今回提供された修正パッチは、他の潜在的攻撃に関する問題も解決する。その1つは、サービス不能化 (DoS) 攻撃につながる可能性がある脆弱性だ。また、『Linux』オペレーティング システム (OS) だけに関するものだが、特権昇格問題を引き起こす可能性がある脆弱性も含まれる。これは、攻撃者がシステムに侵入後、さらに高度な権限を獲得することができてしまうというものだ。

その他の2つの問題は、クリックジャック攻撃に関するものだ。その1つは、『Windows』OS だけに影響を及ぼす脆弱性だが、もう1つの問題は、Flash Player 自体に影響する脆弱性だと、Adobe のセキュリティ情報には記載されている。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール