Adobe は、2016年10月26日(米国時間)、同社製品 Flash Player に存在するゼロデイ脆弱性「CVE-2016-7855」に対応する定例外更新プログラムを緊急に公開しました。同社セキュリティ情報「APSB16-36」によると、問題の脆弱性の影響を受けるバージョンは、今月11日にリリースされた 23.0.0.185、およびそれ以前のバージョンとなります。詳細は、以下の通りとなります。
影響を受ける OS:Windows、Macintosh、Linux、Chrome OS
23.0.0.185 以前のバージョン
- Adobe Flash Player Desktop Runtime
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11
- Adobe Flash Player for Google Chrome
11.2.202.637 以前のバージョン
- Adobe Flash Player for Linux
同社製品の利用者は、直ちに更新プログラムを適用してください。
問題のゼロデイ脆弱性「CVE-2016-7855」は、「use-after-free(解放済みメモリの使用)」の脆弱性となります。この脆弱性が利用されると、攻撃者は、特別に細工された Flashファイルを用いて不正なコードを感染PC上で実行することが可能となります。これにより、感染PC は、さまざまな脅威にさらされる恐れがあります。同セキュリティ情報によると、このゼロデイ脆弱性は、限定された標的型サイバー攻撃に利用され、Windowsユーザを狙っていました。
Adobe は、今回の定例外更新プログラム公開により、この脆弱性を修正しています。更新されたバージョンは、23.0.0.205 となります。更新設定が自動になっている場合、自動的に更新されるか、あるいは、ポップアップメッセージによりユーザは更新の通知を受け取ります。また、Google Chrome、Microsoft Edge および Internet Explorer用の Flash の場合、各ブラウザの自動更新により更新されることとなります。一方、Linux の利用者は、この更新により、11.2.202.643 のバージョンとなります。
■ トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、問題のゼロデイ脆弱性を利用した攻撃から守られています。サーバ向け総合セキュリティ製品「Trend Micro Deep Security」およびエンドポイントの脆弱性対策製品「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」をご利用のお客様は、以下の DPIルールによって脆弱性を利用する脅威から保護されています。
- 1008003—Adobe Flash Player Use-After-Free Vulnerability
ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターにより今回の脅威をブロックします。
- 25498: HTTP: Adobe Flash AMF Use-After-Free Vulnerability
参考記事:
- 「Patch Your Flash: Another Zero-Day Vulnerability Hits Adobe Flash」
by Jonathan Leopando(Technical Communications)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)