画像提供:マイナビニュース

写真拡大

Sophosは12月7日(米国時間)、「Flash zero-day exploit spotted - patch now! |Naked Security by Sophos」において、Adobe Flash Playerにゼロデイのセキュリティ脆弱性が発見されたと伝えた。Qihoo 360によって発見されたと説明がある。

Adobe Systemsは対象の脆弱性やアップデート版に関する情報を次のページで紹介している。

Adobe Security Bulletin|Security updates available for Flash Player | APSB18-42

脆弱性の影響をうけるアプリケーションとそのバージョンは以下の通り。

Adobe Flash Player Desktop Runtime 31.0.0.153とそれより古いバージョン(Windows, macOS and Linux)

Adobe Flash Player for Google Chrome 31.0.0.153とそれより古いバージョン(Windows, macOS, Linux and Chrome OS)

Adobe Flash Player for Microsoft Edge and Internet Explorer 11 31.0.0.153とそれより古いバージョン(Windows 10 and 8.1)

Adobe Flash Player Installer 31.0.0.108 and earlier Windows

Adobeからは脆弱性を修正したバージョンが公開されているが、記事では対策方法としてアップデートではなくアンインストールを推奨している。さらに、ブラウザでFlashコンテンツを無効にするよりも先に、オペレーティングシステムからFlashを削除することを推奨している。

主要WebブラウザベンダーはFlashコンテンツがクラッシュの原因や脆弱性の原因の1つになっているとして、長期にわたり規制を強める取り組みを進めている。しかし、Microsoft Officeといったアプリケーションでは依然としてFlashコンテンツを読み込んで実行することが可能で、こうした仕組みが攻撃に悪用されているため注意が必要。