BT

SymantecがFlashゼロデイ攻撃の可能性を指摘

| 作者: Alex Blewitt フォローする 4 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2015年8月3日. 推定読書時間: 1 分 |

原文(投稿日:2015/07/08)へのリンク

昨日公開されたレポートの中でSymantecは,Hacking Teamの突破によって明らかになったFlashのゼロデイ脆弱性が,リモートから悪用される可能性があることを確認した上で,結果的にゼロデイ攻撃が起こる可能性を警告した。脆弱性の分析結果から,完全にパッチされたFlash実装であっても,脆弱な,または特別に加工されたファイルをロードすることで,リモートからの悪用が可能になることが確認されている。

今回のゼロデイ攻撃はかなり稀なケースだ。一般的に脆弱性は,‘責任ある開示’の形で公開される。コードが修正され,アップデートが公開されるまでは,バグの詳細は公開されないのが通例だ。Adobe Flashの場合,通常ならば,近々リリースが予定されている次のアップデートで,1ヶ月単位をベースに実施される。ところが今回は脆弱性が公表されないまま,Hacking Teamによってリモート攻撃の手段として利用されたのだ。

そのHacking Teamが昨日,自らがハッキングの被害のあったことから,そこに含まれていた未修正のFlashのバグ情報が流出する事態になった。このような経緯でバグの所在が公になった上に,パッチが未提供であるため,ソフトウェアの提供者にとって,そのフィックスとパッチリリースが時間との戦いになったのだ。

それとは別にSymantecは,対策としてFlashを無効にすることを推奨し,その実行手順を公開した。ChromeがFlashを有効にした状態をデフォルトとして提供されているため,ユーザは知らないうちに脆弱性を被っている可能性がある。それまでFlashを意識的にインストールした経験がなければ,危険性はさらに高い。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT