Adobe Systemsの「Adobe Flash Player」に2件の深刻なゼロディ脆弱性が見つかった。影響するのは「Adobe Flash Player 18.0.0.204」以前で、OSは「Windows」「Mac OS X」「Linux」。Adobeは米国時間7月10日、自社セキュリティ情報掲示板のSecurity Bulletinでこの脆弱性を報告した。情報は12日に更新されている。Adobeはこの脆弱性を修正したアップデートを今週にも配信する予定としている。
それによると、2件の脆弱性(CVE-2015-5122とCVE-2015-5123)は、悪用されるとクラッシュを引き起こす可能性があり、攻撃者がシステムを乗っ取ることも可能という。Adobeはこの脆弱性を4段階評価で最も深刻度の高い「Critical」と分類している。
影響するのは、Adobeが7月にリリースしたばかりのバージョン18.0.0.203(WindowsとMac OS X)とそれ以前のバージョン、Adobe Flash Player 18.0.0.204(「Google Chrome」をインストールしたLinux)とそれ以前のバージョン。また、WindowsとMac向けの「Adobe Flash Player Extended Support Release 13.0.0.302」および13系のそれ以前のバージョン、Linux向けの「Adobe Flash Player Extended Support Release 11.2.202.481」および11系のそれ以前のバージョンとなる。
2件の脆弱性はイタリアの監視ソフト企業Hacking Teamへのハッキングにより流出したとされる400Gバイトものファイルから、セキュリティ企業FireEyeとTrend Microの研究者らがそれぞれ発見した。Hacking Teamのファイルからはすでに1件の脆弱性が明らかになっており、Adobeはこれを修正するAdobe Flash Playerのセキュリティアップデートをリリースしたばかりだった。