情報処理推進機構(IPA)は2015年10月15日、米アドビシステムズの「Adobe Flash Player」に、セキュリティ脆弱性があるとする緊急の注意喚起情報を出した。細工されたWebサイトのFlashコンテンツを閲覧すると、外部から遠隔操作される可能性がある。アドビはこの脆弱性の深刻度を4段階中最悪の「致命的(Critical)」としている。
10月13日にリリースされた修正プログラムを適用しても、この脆弱性(CVE-2015-7645)は解消されない(画面)。IPAは、標的型攻撃のリスクが懸念される組織においては、修正プログラムが公開されるまで一時的にAdobe Flash Playerのアンインストールや無効化などの緩和策を実施するように呼び掛けた。具体的な方法はOSやWebブラウザーの種類によって異なり、Webサイトで案内している。アドビは、この脆弱性に関する修正プログラムを「10月19日の週内に用意する」と発表している。
脆弱性があるのは、「Adobe Flash Player 19.0.0.207およびそれ以前のバージョン(Windows版およびMacintosh版)」「Adobe Flash Player Extended Support Release 18.0.0.252およびそれ以前の18.xのバージョン」「Adobe Flash Player 11.2.202.535およびそれ以前の11.xのバージョン(Linux版)」である。Google ChromeなどのWebブラウザーに内蔵されているものも含め、PC用Flash Playerのほぼ全てが該当する。
今回の脆弱性について、トレンドマイクロは10月14日時点で、独自に注意喚起する文書を出していた(関連記事:Flash Playerにまたゼロデイ脆弱性、前日の更新で修正されず)。
