Flashファイルに4年前の脆弱性が残っているおそれ - Threatpost

米国のニュースサイト「Threatpost」に掲載された記事「Adobe CVE-2011-2461 Remains Exploitable Via Flex Four Years After Patch｜Threatpost」によると、2011年に修正パッチがリリースされている脆弱性を抱えたFlex SDKによってコンパイルされたFlashファイルに脆弱性が含まれているという。

今回、指摘されているFlexアプリケーションの脆弱性は、今から4年前となる2011年に修正パッチがリリースされている(CVE-2011-2461)。しかし、このパッチだけでは問題を回避することができないケースがあり、さらに、WebブラウザとFlash Playerのプラグインを最新版へ更新しても問題を回避することができないと指摘されている。

研究者らからは概要のみが発表されており、実際にどのような仕組みで問題が発生するのかなどの詳細は今後発表されるという。この脆弱性を実際に用いた動作検証の結果も同時に発表される見通し。

この問題は多くのWebサイトに存在しているおそれがあり、関係する機関やベンダからの情報提供に注目しておくことが推奨される。