BT

InfoQ ホームページ ニュース SymantecがFlashゼロデイ攻撃の可能性を指摘

SymantecがFlashゼロデイ攻撃の可能性を指摘

ブックマーク

原文(投稿日:2015/07/08)へのリンク

昨日公開されたレポートの中でSymantecは,Hacking Teamの突破によって明らかになったFlashのゼロデイ脆弱性が,リモートから悪用される可能性があることを確認した上で,結果的にゼロデイ攻撃が起こる可能性を警告した。脆弱性の分析結果から,完全にパッチされたFlash実装であっても,脆弱な,または特別に加工されたファイルをロードすることで,リモートからの悪用が可能になることが確認されている。

今回のゼロデイ攻撃はかなり稀なケースだ。一般的に脆弱性は,‘責任ある開示’の形で公開される。コードが修正され,アップデートが公開されるまでは,バグの詳細は公開されないのが通例だ。Adobe Flashの場合,通常ならば,近々リリースが予定されている次のアップデートで,1ヶ月単位をベースに実施される。ところが今回は脆弱性が公表されないまま,Hacking Teamによってリモート攻撃の手段として利用されたのだ。

そのHacking Teamが昨日,自らがハッキングの被害のあったことから,そこに含まれていた未修正のFlashのバグ情報が流出する事態になった。このような経緯でバグの所在が公になった上に,パッチが未提供であるため,ソフトウェアの提供者にとって,そのフィックスとパッチリリースが時間との戦いになったのだ。

それとは別にSymantecは,対策としてFlashを無効にすることを推奨し,その実行手順を公開した。ChromeがFlashを有効にした状態をデフォルトとして提供されているため,ユーザは知らないうちに脆弱性を被っている可能性がある。それまでFlashを意識的にインストールした経験がなければ,危険性はさらに高い。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。