トレンドマイクロは2015年2月2日、Flash Playerを狙った「ゼロデイ攻撃」を確認しているとして注意を呼びかけた。罠が仕掛けられたWebサイトにアクセスするだけでPCを乗っ取られる恐れなどがある。米アドビシステムズは、脆弱性を修正した最新版を今週中(2月2日からの週)に公開する予定(画面)。
Flash Playerには、危険な脆弱性が相次いで見つかっている。アドビシステムズは1月13日、2015年になって初となるFlash Playerの脆弱性情報と、脆弱性を修正したバージョン「16.0.0.257」を公開した。このバージョンでは、脆弱性番号「CVE-2015-0301」から「CVE-2015-0309」までの9件を解消した。
その後、バージョン16.0.0.257にも新たな脆弱性「CVE-2015-0310」が見つかった。同社は1月22日、バージョン「16.0.0.287」を公開。ユーザーに早急にアップデートするよう呼びかけた。
ところが、この新バージョンにも別の脆弱性「CVE-2015-0311」が潜んでいた。バージョン16.0.0.287を公開した1月22日、アドビシステムズは新たな脆弱性に関する情報を公表。この脆弱性を悪用した攻撃が確認されているとして注意を呼びかけた。修正版が公開される前の攻撃なので、いわゆるゼロデイ攻撃である(関連記事:Web経由のゼロデイ攻撃が出現、Flash Playerに危険な脆弱性)。
この攻撃は、Windows 8.1およびそれ以前のWindowsで稼働するInternet Explorer(IE)とFirefoxをターゲットにした「ドライブバイダウンロード攻撃(Web経由の攻撃)」だった。攻撃者はWebサイトに脆弱性を突く罠を仕掛け、アクセスしたユーザーのPCにウイルスを感染させる。
アドビシステムズは1月27日、CVE-2015-0311ともう一つの脆弱性「CVE-2015-0312」を修正したバージョン「16.0.0.296」をリリースしたことを発表した。
