「Adobe Flash Player」に新たなゼロデイ脆弱性--US-CERTが勧告

Topher Kessler (Special to CNET News) 翻訳校正: 佐藤卓 吉武稔夫2011年12月12日 12時37分
  • このエントリーをはてなブックマークに追加

 つい先ごろ、「Adobe Acrobat」および「Adobe Reader」の「Mac」版と「Windows」版の両方で、攻撃者がプログラムをクラッシュさせ、システムを乗っ取ることができる脆弱性が発見された。今のところ、攻撃があったことが確認されたのはWindowsマシンのみだが、Macのシステムも同じように影響を受ける可能性がある。

 それに加えて、「Adobe Flash Player」でも、同じようにシステム上で任意のコードを実行できる類似の脆弱性が2つ発見された。

 Computerworldの報道によれば、米コンピュータ緊急事態対策チーム(US-CERT)が勧告を出した2件の脆弱性は、ロシアの脆弱性調査会社Intevydisが発見したものだという。この脆弱性を利用すると、Windowsで採用されているDEPやASLRといった防御機能をすり抜け、「Internet Explorer」のサンドボックス技術をかいくぐることが可能になるという(他のブラウザについては、この問題でどのような影響を受けるかに関する情報はない)。

 IntevydisはWindowsマシンでこの脆弱性が悪用された例を報告しているが、「OS X Lion」でも悪用は可能だと見られる。

 これまでのところ、Adobe Systemsは、Windows版ReaderおよびAcrobatのバージョン9.xのみでこれらの脆弱性に対応しており、他のバージョンの修正についてはおよそ1カ月以内に対応する予定だ。ただし、Flash Playerで明らかになった脆弱性について、Adobeは今のところ何の対応も見せていない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加