Flash Player に未修正のセキュリティ欠陥が発見されました。最新の Flash Player をインストールしていても攻撃を受けます。監視ツール開発・販売企業 Hacking Team がハッキングされた件で既に悪用されている他、各種の攻略ツールキットにも実装済です。今回は Windows 版 Flash Player だけでなく、Linux 版 Flash Player にも攻略ツールが公開されています。
- APSA15-03 - Security Advisory for Adobe Flash Player (Adobe)
- 伊企業「Hacking Team」の情報漏えい、Flash Playerに存在する未修正の不具合を確認 (トレンドマイクロ)
修正版 Flash Player は、明日(7月9日)公開される予定です。
Adobe は回避方法を明示していませんが、次の方法があります。
- Web ブラウザにおいて Flash Player を無効に設定する。以下を参照してください:
- Flash Player をアンインストールする。ただし Chrome のような、Flash Player を内蔵している Web ブラウザでは、この方法は取れません。
- 脆弱性緩和ツール EMET をインストールする。効果が確認されています。
2015.07.09 追記
更新版 Flash Player が公開されました。こちら を参照してください。
2015.07.14 追記
上記とは別の、新たな未修正のセキュリティ欠陥が 2 件発見されました。既に悪用されています。
- APSA15-04 - Security Advisory for Adobe Flash Player (Adobe)
- 新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認 (トレンドマイクロ)
- 2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起 (JPCERT/CC)
これを受けて、現在、Firefox では、全てのバージョンの Flash Player について、起動可否を利用者に確認するようになった模様です。
今週中に Flash Player の修正版が公開される予定です。
…と書いている間に、Flash Player 18.0.0.209 が公開された模様です。こちらからダウンロードできます。学内向け案内はこちら