サム・オリバー
· 1分で読めます
Adobe Flash Player に存在する、悪意のあるユーザーが Mac、PC、Linux マシン上のブラウザデータ (Cookie を含む) を盗むことができる既知の脆弱性が初めて悪用されたため、Adobe はパッチをリリースし、ユーザーにできるだけ早くシステムをアップグレードするよう促しました。
Adobeによると、MacおよびWindows版のFlash Playerバージョン14.0.0.125以前、およびLinux版のFlash Playerバージョン11.2.202.378以前がこのバグの影響を受けるとのことです。このバグは、GoogleのエンジニアであるMichele Spagnuolo氏による概念実証で悪用されました。MacおよびWindowsユーザーはバージョン14.0.0.145に、Linuxユーザーはバージョン11.2.202.394にアップデートする必要があります。
この脆弱性は、英数字のみで構成される特殊に細工されたSWFファイルに依存しており、有効なFlashファイルではないにもかかわらず、Flash Playerによって実行されます。これらの悪意のあるファイルは、Webページ上の埋め込みオブジェクトに付与された特別な権限を悪用し、ユーザーに代わってクロスドメインリクエストを実行し、返されたデータを取得する可能性があります。
エンドユーザーの軽減策に加えて、ウェブサイト所有者は、Spagnuolo が特定したいくつかの修正プログラムの 1 つを使用して、CVE 識別子 CVE-2014-4671 が割り当てられた脆弱性を自ら修正することができます。
ユーザーは、Adobe の「Flash Player について」ページにアクセスするか、ブラウザで Flash コンテンツを右クリックしてコンテキスト メニューから「Adobe (または Macromedia) Flash Player について」を選択することで、システムにインストールされている Flash のバージョンを確認できます。
