米Adobe Systemsは6月7日、Flash Playerの深刻な脆弱性を修正する臨時セキュリティアップデートを公開しました。脆弱性を突く攻撃の発生が確認されていることから、最優先で対応するよう呼び掛けています。

Adobeのセキュリティ情報によると、今回のアップデートでは、「Flash Player 29.0.0.171」までのバージョンに存在する4件の脆弱性を修正した。うち2件については任意のコード実行に利用される恐れがあり、緊急度は同社の3段階評価で最も高い「クリティカル」に指定しています。

このうちの1件(CVE-2018-5002)は、Windowsを狙った限定的な標的型攻撃に利用されたことが分かっている。Office文書に悪質なFlashコンテンツを仕込んで、電子メールで送信する手口が使われているという。

脆弱性を修正した最新バージョンの「Flash Player 30.0.0.113」は、Windows、macOS、Linux、Chrome OS向けに公開された。Linux以外では優先度「1」と位置付け、直ちに最新バージョンに更新するよう促しています。

セキュリティ企業ICEBRGによると、今回の未解決の脆弱性を突く攻撃では、中東の組織や個人が狙われたと思われる。Office文書が使われたのは、主要Webブラウザが初期設定でFlash Playerの自動再生を無効にする措置を講じる中で、Officeは今もFlashを含むActiveXコントロールの組み込みをサポートしているためだとICEBRGは分析します。

Microsoftは2019年1月から、Office 365でFlashとShockwave、Silverlightのコンテンツをブロックすると表明しています。