Flash Player、Adobe Reader/Acrobatがアップデート、危険な脆弱性を修正


 Adobe Systemsは21日、Flash PlayerおよびAdobe Reader/Acrobatに見つかった脆弱性を修正するセキュリティアップデートを公開した。

 脆弱性の緊急度は、4段階中で最も高い“Critical”のレーティングとなっている。悪用されるとクラッシュが発生したり、システムが攻撃者に乗っ取られる可能性がある。メール添付のExcelファイルに埋め込んだFlashファイル(.swf)を経由した攻撃がすでに発生していることが報告されている。

 脆弱性があるFlash Playerのバージョンは、Windows版/Mac版/Linux版/Solaris版の10.2.152.33以前、Google Chrome用の10.2.154.18以前、Android版の10.1.106.16以前。さらに、Windows版/Mac版/Linux版のAdobe AIR 2.5.1以前も対象となる。

 今回、脆弱性に対処したWindows版/Mac版/Linux版/Solaris版のバージョン10.2.153.1、Google Chrome用の10.2.154.25、Android版の10.2.156.12を公開。また、Windows版/Mac版/Linux版のAdobe AIRもバージョン2.6を公開し、ユーザーにアップデートを推奨している。アップデートにより、コード実行の原因になりかねないメモリ破損の脆弱性を解消するとしている。

 さらにこの脆弱性は、Authplay.dllコンポーネントが付属する一部のバージョンのAdobe Reader/Acrobatにも影響する。影響を受けるのは、Windows版/Mac版のAdobe Reader X/Acrobat X 10.0.1以前およびAdobe Reader/Acrobat 9.x。

 Adobeでは今回、Mac版のAdobe Reader X 10.0.2、Windows版/Mac版のAdobe Reader 9.4.3、Windows版/Mac版のAdobe Acrobat X 10.0.2/Acrobat 9.4.3を公開し、ユーザーにそれぞれアップデートを推奨している。

 一方、Windows版のAdobe Reader Xに対しては、今回はセキュリティアップデートは提供されていない。Adobeによると、このような脆弱性を対象とした攻撃は保護モードによって阻止されるため、Windows版Adobe Reader Xについては6月14日に予定されている四半期ごとの定例キュリティアップデートで対応予定だという。

 なお、この脆弱性は、UNIX版Adobe Reader 9.x、Andoroid版Adobe Reader、Acrobat 8.x には影響ないとしている。

 このAdobe製品の脆弱性を悪用したゼロデイ攻撃についついては、トレンドマイクロも注意を喚起していた。東日本大震災に便乗したもので、メールに添付されてきた「津波」などの文字を含んだExcelファイルを開くとマルウェアに感染するというものだ。

関連情報