情報処理推進機構(IPA)は2月2日、「Adobe Flash Player の脆弱性対策について(APSA18-01)(CVE-2018-4878)」において、Adobe Flash PlayerにDoS攻撃を受けたり、任意のコードが実行されたりする脆弱性が存在すると伝えた。
この脆弱性を悪用されると、影響を受けたシステムが乗っ取られる危険性があり注意が必要。まだアップデートは提供されておらず、ベンダーからは、早ければ 2018 年 2 月 5 日 (米国時間)に修正プログラムの公開すると報告を受けているという。そのため、該当するプロダクトを利用している場合は機能を無効化するか、アンインストールすることが推奨されている。
影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- Adobe Flash Player Desktop Runtime 28.0.0.137およびそれより前のバージョン (Windows、Macintosh、Linux)
- Adobe Flash Player for Google Chrome 28.0.0.137およびそれより前のバージョン (Windows、Macintosh、Linux、Chrome OS)
- Adobe Flash Player for Microsoft Edge/Internet Explorer 11 28.0.0.137およびそれより前のバージョン (Windows 10、Windows 8.1)
各ブラウザにおけるAdobe Flash Playerを無効化する方法は次のとおり。
Internet Explorerの場合
- ブラウザを起動する
- メニューより「ツール」-「インターネットオプション」を選択する
- 「プログラムタブ」-「アドオンの管理」を選択する
- 「表示」プルダウンから「全てのアドオン」を選択する
- 右のメニューから「Shockwave Flash Object」を 右クリックし、「無効」を選択する
Microsoft Edgeの場合
- ブラウザを起動する
- メニューより「・・・」-「設定」を選択する
- 「詳細設定を表示」を選択する
- 「Adobe Flash Player を使う」をオフにする
Google Chromeの場合
- ブラウザを起動する
- アドレスバーに chrome://settings/content を入力する
- Flash を選択する
- 「最初に確認する(推奨)」をオフにする
韓国インターネット振興院Korea Computer Emergency Response Team Coordination Center(KrCERT/CC)は「Adobe Flash Player 신규 취약점 주의 권고|보안공지|자료실 - KISA 인터넷 보호나라&KrCERT」において、この脆弱性を悪用した攻撃を確認したとしており注意が必要。
krCERT/CCは攻撃が韓国を対象としていること、Flash SWFファイルをMicrosoft Wordドキュメントに埋め込んだ形で感染が広がっていることなどを説明し、注意を呼びかけている。