2つのゼロデイ脆弱性、CVE 2013-0643とCVE 2013-0648は、ユーザーが悪意のあるFlashファイルをホストしているWebサイトへのリンクをクリックするように仕向けられた標的型攻撃で悪用されていたと、アドビは火曜日にリリースしたセキュリティアドバイザリで述べた。 同社は、ゼロデイ脆弱性を発見した組織や研究者にはクレジットしませんでしたが、3番目のセキュリティホールの報告はIBM X-forceにクレジットしました。
RSA Conferenceのアドビセキュリティエンジニアも、追加情報の提供を拒否しました。
「Cve 2013-0643およびCVE 2013-0648のエクスプロイトは、Firefoxブラウザを標的とするように設計されています」とアドビはアドバイザリで述べています。
攻撃者は脆弱性を引き起こして、Flash Playerをクラッシュさせ、コンピューターをリモート制御できる可能性があるとAdobeは述べています。 ゼロデイバグは、Flash Player Firefoxサンドボックスのアクセス許可の問題と、ExternalInterface ActionScript機能の欠陥に関連しており、悪意のあるコードを実行するために悪用される可能性があります。 3番目のバグは、現在はまだ利用されていませんが、Flash Playerブローカーサービスのバッファオーバーフローの脆弱性であり、悪意のあるコードを実行するために使用される可能性があります。
この更新は、Windows、Mac OS X、およびLinux上のすべてのバージョンのFlashに影響します。 ユーザーは、Adobe Webサイトから最新バージョンをダウンロードするか、バックグラウンド更新をオンにして、ソフトウェアがバージョンを自動的に取得できるようにすることができます。 GoogleとMicrosoftは、ChromeおよびInternet Explorer 10(Windows 8用)のFlashを個別に更新します。
このFlashアップデートは、今月のFlash Playerの2番目の帯域外パッチ、2月の3番目のアドビパッチ、2013年にリリースされた4番目のパッチです。
AdobeがFlashとReaderの自動更新をオンにしてからほぼ1年が経ち、更新率は非常に大きいと、Adobeのセキュリティおよびプライバシー担当シニアディレクターであるBrad Arkin氏はRSA ConferenceでSecurityWatchに語った。 ユーザーが最新のアップデートをダウンロードするように促された以前のモデルでは、ユーザーが実際にFlash Playerにパッチを適用するのに十分ではなかった、とArkinは述べた。 バックグラウンド更新への移行により、成功率は大幅に向上しました。
RSAカバレッジのすべての投稿を表示するには、レポートの表示ページをご覧ください。
