米アドビシステムズは米国時間2016年12月13日、「Flash Player」に危険な脆弱性が見つかったとして注意を呼びかけた。細工が施されたWebページを開くだけでパソコンを乗っ取られる恐れなどがある。実際、今回の脆弱性を悪用した攻撃が確認されている。対策はFlash Playerのバージョンアップ。
今回報告された脆弱性は17件。ほとんどがメモリー管理に関する脆弱性である。これらの脆弱性を突くFlashコンテンツを読み込むと、Flash Playerが異常終了したり、悪質なプログラム(ウイルス)を実行されたりする危険性がある。その結果、パソコンを乗っ取られる恐れなどもある。悪質なFlashコンテンツが貼られたWebページを開くだけでも被害に遭う。
脆弱性の影響を受けるのは、Flash Player 23.0.0.207およびそれ以前。WebブラウザーのChromeや、Internet Explorer(IE)11およびEdgeに標準で組み込まれているFlash Playerのコンポーネントも影響を受ける。
アドビシステムズによれば、32ビット版IEを対象とした限定的な標的型攻撃を確認しているという。国内のセキュリティ組織であるJPCERTコーディネーションセンターも、今回の脆弱性を悪用した攻撃を確認している。
対策は、脆弱性を修正した最新版(バージョン24.0.0.186)にバージョンアップすること。最新版は、アドビシステムズの「Flash Playerダウンロードセンター」などから入手できる。
WebブラウザーにインストールされているFlash Playerのバージョンは、同社のWebサイトにアクセスすれば確認できる。
IE 11とEdgeに組み込まれているFlash Playerの更新プログラムはマイクロソフトから提供されている(関連記事:IEやWindowsなどに「緊急」の脆弱性、一部は第三者が公表済み)。Windowsの自動更新機能などで自動的に適用される。Chromeについては、Chromeのアップデート時にFlash Playerが更新される。
