トレンドマイクロは4月28日、同社のセキュリティブログで、Adobe Flash Playerに存在するさまざまな脆弱性を利用することで知られるエクスプロイトキット「Angler EK」が利用する最新の脆弱性が、Adobeが2015年4月にセキュリティ情報で修正プログラムを公開した脆弱性「CVE-2015-0359」でなく、別の脆弱性「CVE-2015-0313」が利用されている可能性を確認したと報告した。

「CVE-2015-0359」は「ByteArray::Write」がスレッドセーフでないために起こる「競合状態」の脆弱性で、この脆弱性を利用するためには多くのワーカーが必要と考えられている。しかし、同社が解析した検体では、「Angler EK」が利用している脆弱性は「domainMemory」に関連した「Use After Free(解放後使用)」となっており、より簡単に利用が可能。そのため、「Angler EK」は修正プログラムが公開されている既知の脆弱性を利用している可能性が浮上した。

同社が確認したAdobe Flash Playerに存在する脆弱性を利用した攻撃の実行フローは、「CVE-2015-0359」ではなく、「CVE-2015-0313」で利用された実行フローと似ている。

新しい脆弱性と「CVE-2015-0313」の違い

この新しい脆弱性が「CVE-2015-0313」と異なる点は、基本となるバッファを変更するために「ByteArray::WriteBytes」を呼び出すこと。この変更が「domainMemory」に通知されないため、「domainMemory」は解放されたメモリを指し続け、攻撃者は、この「解放後使用」の脆弱性を利用して、解放されたメモリアドレスから、読み込みや書き込みといった本来備わっている命令を利用する。実際のところ、脆弱性を利用するために呼び出される関数が異なる以外は、今回の脆弱性は「CVE-2015-0313」の脆弱性と同一。

トレンドマイクロは、Adobeと協働し、この脆弱性の詳細を確認中。

なお、今回確認された検体のSHA1ハッシュ値は「E0C46A5BF1F98C0BF5F831E7AD1881502809DA93」。