米アドビシステムズは米国時間2014年2月20日、「Flash Player」に危険な脆弱性が見つかったとして注意を呼びかけた。細工が施されたFlashコンテンツやWebページを開くだけで、パソコンを乗っ取られる恐れなどがある。実際、今回の脆弱性を悪用した攻撃が確認されている。対策はFlash Playerのアップデート。
今回報告された脆弱性は、2月4日に報告されたものとは異なる(関連記事:「Flash Player」に危険な脆弱性、パソコンを乗っ取られる恐れ)。ただし、前回の脆弱性と同様に危険である。細工が施されたWebページを開くだけで、Flash Playerが強制終了させられたり、任意のプログラムを実行されたりする恐れがある。
実際、今回の脆弱性を悪用した攻撃が確認されている。ベンダーが対策を用意する前の攻撃なので、いわゆる「ゼロデイ攻撃」である。攻撃に悪用されたことで、脆弱性の存在が明らかになった。前回の脆弱性も、ゼロデイ攻撃に悪用されている。
セキュリティベンダーの米ファイア・アイでは、今回の脆弱性を悪用したゼロデイ攻撃に関する情報を同日公開している。情報公開時点で、少なくとも三つの非営利団体のWebサイトが侵入され、ゼロデイ攻撃に悪用されたとしている。それらのWebサイトにアクセスすると、今回の脆弱性を悪用するプログラム(エクスプロイト)が置かれたWebサイトに誘導され、被害に遭う恐れがあった。
脆弱性の影響を受けるのは、Windows版およびMac版についてはFlash Player 12.0.0.44およびそれ以前、Linux版についてはFlash Player 11.2.202.336およびそれ以前。標準でFlash Playerを組み込んでいるWebブラウザーのChromeやWindows 8用Internet Explorer(IE)10、Windows 8.1用IE11なども影響を受ける。
対策は、脆弱性を修正した最新版(12.0.0.70など)にアップグレードすること。最新版は、アドビシステムズのWebサイトなどから入手できる(写真)。
Chromeについては、Chrome自体をバージョンアップする。Chromeには自動更新機能があるので、自動的にアップグレードされる。IEについては、脆弱性を修正するための更新プログラムを適用する。更新プログラムは「Windows Update」などから適用できる。
