米Adobe Systemsは4日(米国時間)、Flash Playerの最新版16.0.0.296に影響する脆弱性「CVE-2015-0313」に対処する更新プログラムを緊急公開した。悪用された場合、攻撃者がシステムを制御できる恐れがあり、深刻度は最も高い「critical」となっている。
この脆弱性を悪用した攻撃として、動画共有サイト「Dailymotion」(dailymotion.com)を訪れたユーザーが、複数のWebサイトに誘導され、最終的にエクスプロイトコードが組み込まれたWebサイト(hxxp://www.retilio.com/skillt.swf)に誘導される事例を、セキュリティ企業のトレンドマイクロが確認している。この攻撃では、Webサイトを訪れると自動で不正広告が読み込まれる設計のため、該当サイトを閲覧したユーザーは悪意のあるコードに自動的に感染してしまう。
影響を受けるFlash Playerは、下記のバージョン。
- Adobe Flash Player 16.0.0.296およびこれ以前(Windows、Mac)
- Adobe Flash Player 13.0.0.264および13.x以前
Flash Playerの自動アップデートを有効にしている場合、CVE-2015-0313を含む脆弱性を修正した最新版の16.0.0.305に自動でアップデートされる。また、米国時間5日から手動アップデートにも対応する予定。