「Adobe Flash Player」に新たなゼロデイ脆弱性--US-CERTが勧告

　つい先ごろ、「Adobe Acrobat」および「Adobe Reader」の「Mac」版と「Windows」版の両方で、攻撃者がプログラムをクラッシュさせ、システムを乗っ取ることができる脆弱性が発見された。今のところ、攻撃があったことが確認されたのはWindowsマシンのみだが、Macのシステムも同じように影響を受ける可能性がある。

　それに加えて、「Adobe Flash Player」でも、同じようにシステム上で任意のコードを実行できる類似の脆弱性が2つ発見された。

　Computerworldの報道によれば、米コンピュータ緊急事態対策チーム（US-CERT）が勧告を出した2件の脆弱性は、ロシアの脆弱性調査会社Intevydisが発見したものだという。この脆弱性を利用すると、Windowsで採用されているDEPやASLRといった防御機能をすり抜け、「Internet Explorer」のサンドボックス技術をかいくぐることが可能になるという（他のブラウザについては、この問題でどのような影響を受けるかに関する情報はない）。

　IntevydisはWindowsマシンでこの脆弱性が悪用された例を報告しているが、「OS X Lion」でも悪用は可能だと見られる。

　これまでのところ、Adobe Systemsは、Windows版ReaderおよびAcrobatのバージョン9.xのみでこれらの脆弱性に対応しており、他のバージョンの修正についてはおよそ1カ月以内に対応する予定だ。ただし、Flash Playerで明らかになった脆弱性について、Adobeは今のところ何の対応も見せていない。