JPCERT/CCは1月4日、Adobe Flash Playerに複数の脆弱性があるとして、注意を呼びかけた。遠隔の第三者は、これら脆弱性を悪用する細工したコンテンツをユーザーに開かせることで、Adobe Flash Player を不正終了させたり、任意のコードを実行させたりするおそれがあるという。
一方、Adobe Systemsは2015年12月28日(現地時間)、CVE番号ベースで19件の脆弱性(CVE-2015-8459, CVE-2015-8460, CVE-2015-8634, CVE-2015-8635, CVE-2015-8636, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8644, CVE-2015-8645, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650, CVE-2015-8651)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。
Adobe Systemsによれば、今回のアップデートにて修正される脆弱性(CVE-2015-8651)を悪用する、限定的な標的型攻撃を確認しているとのこと。
対象となる製品とバージョンは以下のとおり。
- Adobe Flash Player 20.0.0.228 およびそれ以前(Internet Explorer、Microsoft Edge、Google Chrome)
- Adobe Flash Player 20.0.0.235 およびそれ以前(Mozilla Firefox、Apple Safari など)
対策として、以下の最新のバージョンに更新する必要がある。
- Adobe Flash Player 20.0.0.267(Internet Explorer (Windows 8, 8.1 及び 10)、Microsoft Edge、Google Chrome、Mozilla Firefox など)
- Adobe Flash Player 20.0.0.270(Internet Explorer)
Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1/10用Internet Explorer 11、Microsoft Edgeは、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。
同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。