トレンドマイクロは7月13日、新たなFlashのゼロデイ脆弱性を確認したとセキュリティブログで明かした。

脆弱性は「CVE-2015-5122」「CVE-2015-5123」の2つで、イタリアのセキュリティ企業「Hacking Team」が攻撃を受け、機密情報が流出する事件によって発見された。

Adobe Systemsでは、脆弱性の危険度を「Critical」と発表。近日中に更新プログラムを配布するとしているが、13日時点ではまだ公開されていない。

影響を受けるのは、Windows、Mac、LinuxにインストールされているAdobe Flash Playerのすべてのバージョン。万一、脆弱性の攻撃を受けると、攻撃者によってシステムが乗っ取られ、遠隔からPCを操作されるなどのおそれがある。

トレンドマイクロでは「CVE-2015-5123」を分析し、Haceking Teamに対する攻撃の詳細を説明している。さらに、新しい情報や調査結果が入り次第、ブログで続報を出すとしている。

  • 新規の「BitmapData」オブジェクトから、2つの「Array」オブジェクトと2つの新規の「MyClass」オブジェクトを用意し、「MyClass」オブジェクトを各「Array」オブジェクトに割り当てる。

  • 「MyClass」の関数「valueOf」は上書きされると、2つの「Array」オブジェクトをパラメータとして「BitmapData.paletteMap」を呼び出す。「BitmapData.paletteMap」は関数「valueOf」を実行する。

  • 関数「valueOf」では、「BitmapData.dispose()」を呼び出し、「BitmapDataobject」の基本的なメモリを解放する。結果として、Flash Playerが機能停止する。

利用者への対策としては、Adobe Systemsが更新プログラムを公開して配布するまで、PC内のFlash Playerを無効にするようにと呼び掛けている。