アドビシステムズは2009年7月31日、Flash Player バージョン9.xおよび10.xの最新版となるFlash Player 9.0.246.0および10.0.32.18を公開した。最新版では、危険な脆弱(ぜいじゃく)性を複数修正。一部の脆弱性では、悪用した攻撃(ウイルス)が確認されているため、同社ではすべてのユーザーに対してアップデートを推奨している。また、Adobe ReaderおよびAcrobatについても、2009年8月1日に最新版を公開する予定。

 最新版のFlash Playerで修正された脆弱性の一つは、同社が7月22日に公表したもの。データの処理に問題があるため、細工が施されたFlashファイル(SWFファイル)を読み込むと、中に仕込まれた悪質なプログラム(ウイルスなど)を実行される恐れがある。そのようなSWFファイルを埋め込んだPDFファイルやWebページを開くだけでも、ウイルスなどを実行される危険性があるという。

 実際、セキュリティ企業各社によれば、今回の脆弱性を突く悪質なPDFファイル(PDFウイルス)を確認しているという。脆弱なFlash Playerがインストールされた環境で、このファイルを開くとウイルスに感染。特定のサイトから別のウイルスを次々とダウンロードして、そのパソコンを乗っ取ってしまう。この脆弱性については、Flash Player関連のコンポーネントを含むAdobe ReaderおよびAcrobat 9も影響を受ける。

 このため同社では、Flash Playerの修正版は2009年7月31日(米国時間7月30日)までに、Adobe ReaderとAcrobatについては8月1日(米国時間7月31日)までに修正版を提供することを表明していた。そして今回、Flash Playerの修正版が公開された。ただし、今回公開されたのはWindows、Macintosh、Linux版。Solaris版については未公開で、公開日は未定。

 加えて、Adobe ReaderおよびAcrobatの修正版(アップデート)についても、予定通り8月1日に公開することを明らかにした。公開されるのはWindows、Macintosh、UNIX版。

 最新版のWindows用Flash Playerでは、7月29日にマイクロソフトが公開した「[MS09-035]Visual StudioのActive Template Libraryの脆弱性により、リモートでコードが実行される (969706)」に関連する脆弱性も解消した。

 これは、Visual Studioに含まれるライブラリー「Active Template Library(ATL)」の脆弱性。ATLは、ActiveXコントロールやCOMオブジェクトなどを作成するために使われるライブラリー。ATLにはデータ処理などに関する脆弱性が存在する。このため、ATLで作成されたActiveXコントロールにも脆弱性が存在し、悪用される危険性がある。

 アドビシステムズでは、Flash PlayerのActiveXコントロール(IE用のプラグイン)にこの脆弱性があることを7月29日時点で明らかにし、7月30日までに修正版を提供するとしていた。

 最新版は、同社の「Adobe Flash Player ダウンロードセンター」から入手可能。現在インストールされているFlash Playerのバージョンは「Adobe Flash Player」ページにアクセスすれば確認できる。Webブラウザーによって、インストールされているFlash Playerは異なる。このため、複数のWebブラウザーを使っている場合には、Flash Playerをそれぞれバージョンアップする必要がある

 Adobe ReaderとAcrobatについては、製品の「ヘルプ」メニューから「アップデートの有無をチェック」を選択すれば、最新版に更新できる。同社のWebサイトでも提供する予定。