Flash のゼロデイ脆弱性、実環境で確認される

2017.10.31

今月の月例パッチでは Adobe からのリリースは何もありませんでした。この数か月 Adobe の月例パッチは徐々に減ってきていることから、Flash 関連のパッチは今後完全に消滅(リンク先:英語)するのだろうと思われていました。



しかし、それは期待しすぎだったようです。



Adobe は月例パッチの 6 日後、実環境での悪用が確認されているゼロデイ脆弱性に対応して、Flash 用の緊急パッチをリリースしました。



Flash のこの脆弱性 (CVE-2017-11292(リンク先:英語)) は、悪用されるとリモートでコードが実行される可能性があり、重大度の評価は緊急 (Critical) です。Windows、Mac、Linux、Chrome OS 上のブラウザおよびデスクトッププレーヤーで実行される Flash がこの問題の影響を受けます。



これまでにも Flash の別の脆弱性を利用して攻撃を行ってきた犯行グループが今回の脆弱性を悪用している、と Adobe は述べています。

ソフォス製品は、マルウェアのダウンロード元である URL をブロックするとともに、マルウェアそのものを Mal/Generic-S として検出することによって攻撃を阻止します。



しかし、現在も Adobe Flash を使用している場合は直ちにパッチを適用する必要があります。

さらに言えば、(できることなら) Flash を完全に削除することをお勧めします。

Adobe 自身も Flash の終焉が近いことは分かっています。また、多くのブラウザベンダーは何年も前から Flash の問題を隠そうとし続けてきました。そして今年 7 月、Adobe がいよいよ Flash のサポート終了を発表しました。



サポートが終了するのは 2020 年末です。


“こうした進歩を受け、アドビは技術パートナー Apple、Facebook、Google、Microsoft および Mozilla の協力のもと、Flash のサポートの終了を計画しています。具体的には、2020 年末に Flash Player のアップデートおよび配布を停止する予定であり、コンテンツクリエイターに対しては、既存の Flash コンテンツを上述の新しいオープンフォーマットへ移行するよう推奨していきます。”



2020 年末までの間、月例パッチは約 40 回あります。


Flash の寿命は長くはありませんが、それまでは苦悩の多い日が続きそうです。Adobe は 2021 年を迎えるまで待つつもりのようですが、ユーザーである皆様はそうする必要はありません。


引用元

おすすめの記事はこちら