現在のAdobe Flash Playerに対するゼロデイ攻撃は、実際にはゼロデイ攻撃ではなかったことがわかった。新たに明らかになった情報によれば、Adobeのセキュリティ対応チームはこの脆弱性について、2008年12月31日から知っていたが、これを「データ損失・破壊」の問題だと誤診断していた(画像参照・画像提供:@Shirkdog)。
7月第4週にこの攻撃に関する情報が明らかになった際、Adobeは素早くこのバグチケットへのアクセスをロックし、「セキュリティバグへと再分類」されたと表示した。
特別に作成されたPDF文書内でFlash Playerを悪用する今回の攻撃が出回った後、Adobeのセキュリティ対応プロセスは加速され、同社は一時的な緩和策を提供する個別のアドバイザリを発表した。
同社は米国時間7月30日と31日に、Windows、Mac、Linuxユーザー向けのパッチをリリースする予定だ。
SourcefireのLurene Grenier氏によれば、出回っている攻撃では少なくとも2つの異なる脆弱性が悪用されている。Adobeのアドバイザリでは「1件の重大な脆弱性」と述べられているだけであるため、7月末に提供されるパッチですべての問題が修正されるかははっきりしない。
(参照:Adobe Flashにゼロデイ攻撃、Adobe Readerにただちに処置を)
当面の間は、Adobeの勧告に従い、Adobe ReaderおよびAcrobat v9.xと一緒に出荷されているauthplay.dllファイルを削除あるいは名前の変更を行うか、同ファイルへのアクセスを削除するべきだ。これによって、現在使われている攻撃ベクトルを緩和できる。
Firefoxユーザーは単純に、Adobeがパッチをリリースするまで、Flash Playerプラグインを無効にしておいてもよい。
今回、重大なセキュリティ上の脆弱性を誤診断したことは、セキュリティを主眼にした運用の全面的な見直し(ポッドキャスト)を行うことでイメージを刷新しようと四苦八苦しているAdobeにとっては、恥ずかしいことだ。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
