ふむ・・・
Windows版のインストーラーにもDLLハイジャックの欠陥
米Adobe Systemsは12月5日(現地時間)、「Adobe Flash Player」の最新版v32.0.0.101を公開した。ゼロデイ脆弱性を修正した緊急のセキュリティアップデートとなっている。
同社が公開したセキュリティ情報(APSB18-42)によると、v31.0.0.153およびそれ以前のバージョンにはメモリの解放後利用(Use after free)の欠陥(CVE-2018-15982)があり、現在のユーザーコンテキストで任意のコードが実行される可能性がある。深刻度は同社基準で最高の“Critical”。
この脆弱性は標的型攻撃への悪用が確認されているため、警戒が必要だ。セキュリティベンダーMalwarebytesによると、診療所のアンケートに偽装したOfficeドキュメントがロシアで発見されているという。最近はWebブラウザーでの「Flash」利用率が減少しているため、Office文書に埋め込まれたActiveXコントロールを介した攻撃が主流となりつつあるようだ。
そのほかにも、本バージョンではWindows版のインストーラーが安全でないDLLを読み込んでしまうDLLハイジャックの欠陥(CVE-2018-15983)も修正されている。特権昇格を招く恐れがあるとして、深刻度は“Important”と評価されている。
これらの脆弱性の影響範囲は、デスクトップランタイム(Windows/Mac/Linux)、「Google Chrome」用プラグイン、「Microsoft Edge」「Internet Explorer 11」用のプラグイン(Windows 8.1/10)。同社はLinux版デスクトップランタイムとWindows版インストーラーを除くすべてのプラットフォームで更新プログラムの適用優先度を最高レベルの“1”とし、できるだけ早いアップデートを推奨している(Windows版インストーラーの適用優先度は“2”、Linux版は“3”)。
「Adobe Flash Player」の最新版は、現在同社のWebサイトから無償でダウンロード可能。自動更新機能が有効になっていれば、通常24時間以内に自動でアップデートされる。「Internet Explorer 11」および「Microsoft Edge」用のプラグインは“Windows Update”から更新可能。また、「Google Chrome」用のプラグインも自動で最新版へ更新される。
関連リンク
情報源:ゼロデイ脆弱性を修正した「Adobe Flash Player 32」が公開 ~攻撃への悪用も確認(Impress Watch) – Yahoo!ニュース
情報源:ゼロデイ脆弱性を修正した「Adobe Flash Player 32」が公開 ~攻撃への悪用も確認 – 窓の杜
はぁ・・・