Adobe Flash Player、先週に続き新たな脆弱性2件が発覚

JPCERTコーディネーションセンターは7月13日、Adobe Flash Playerに未修正の脆弱性が見つかったとして注意喚起を行った。同ソフトに関する脆弱性は、9日に修正ファイルが提供されたばかりだ。

今回の脆弱性は、CVE番号が「CVE-2015-5122」「CVE-2015-5123」のもので、現時点で未修正となっており、今週中にAdobeが修正ファイルを提供する予定となっている。対象となる製品バージョンは「Adobe Flash Player 18.0.0.203」とそれ以前のもの。

9日に公開されたアップデートは、過去に公開された脆弱性やイタリアのセキュリティベンダー「Hacking Team」が受けたゼロデイ攻撃の新たな脆弱性の修正を行ったもので、今回の脆弱性とは異なる。あくまで、「12日週に提供する新たなアップデート」を適用する必要がある。

イタリアのゼロデイ攻撃については、事前に日韓で攻撃のテストした形跡があるなど、周到な作戦が練られていた可能性も指摘されている。

JPCERT/CCでは、更新プログラムが配布されるまでの対処方法として、Internet Explorerの場合にはインターネットオプションのセキュリティレベルを「高」に設定するよう呼びかけているほか、EMETの適用を勧めている。