米Adobe Systemsは8日、Flash Playerの深刻な脆弱性を修正するセキュリティアップデート（パッチ）を公開した。ユーザーに対して、最新バージョンへのアップデートを推奨している。

細工を施したコンテンツをユーザーに開かせることで、Flash Playerを不正終了させたり、任意のコードを実行させたりする可能性のある脆弱性を修正している。パッチ公開前から悪用方法についての情報が出回っていた脆弱性も含まれており、JPCERT/CCによれば、すでにその脆弱性を悪用した攻撃活動が確認されているという。

今回公開された最新バージョンは、Flash PlayerのWindows版・Mac版デスクトップランタイムが「18.0.0.203」、延長サポート版が「13.0.0.302」、Linux版が「11.2.202.481」。

ウェブブラウザーに同梱されているFlash Playerについては、Windows 8.1/8のInternet Explorer（IE）11/10およびGoogle ChromeのWindows版・Mac版において「18.0.0.203」、Google ChromeのLinux版において「18.0.0.204」。Google ChromeとIEの自動アップデートにより、Flash Playerも最新バージョンに更新される。

なお、インストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。

このほか、「Adobe AIR」のデスクトップランタイム、SDK、コンパイラも「18.0.0.180」にアップデートされた。

修正した脆弱性の危険度は、4段階中で最も高い“クリティカル”とレーティングされている。また、アップデート適用の優先度は、Flash PlayerのWindows版・Mac版において、3段階中で最も高い“優先度1”。これは、システム管理者によって直ちに適用されること（例えば72時間以内）が推奨されているものだ。一方、Linux版とAIRは“優先度3”となっており、システム管理者が判断したタイミングで適用することが推奨されている。

最新バージョンで修正された脆弱性の件数は、CVE番号ベースで36件。このうち、解放後使用（use-after-free）の脆弱性のうちの1件「CVE-2015-5119」が、今回のパッチ公開前から情報が出回っていた“ゼロデイ脆弱性”だ。

トレンドマイクロによると、CVE-2015-5119の脆弱性は、伊Hacking Teamから流出した機密情報によって公になったもの。Hacking Teamは合法的に通信を傍受するためのソフトを販売していることで知られているというが、流出した機密情報の中には攻撃を実行するためのツールが含まれており、そうしたツールにFlash PlayerやWindowsカーネルのゼロデイ脆弱性の攻撃コードが含まれていたのだという。

具体的には、Flashのゼロデイ脆弱性によってWindowsの電卓を起動する実証（PoC）コードと、実際の攻撃のシェルコードを含む公開バージョンが含まれていたとしている。

こうした経緯から、Adobeによってパッチが公開される前に、攻撃者によって攻撃コードが悪用される恐れがあることをシマンテックが指摘していた。実際、このCVE-2015-5119に対する攻撃コードは、すでに主要な攻撃ツールに実装されている模様だ。JPCERT/CCが、攻撃活動への悪用が確認されているとしているのも、CVE-2015-5119の脆弱性についてだ。

一方、Windowsカーネルの脆弱性は、Adobeが提供しているOpenTypeフォント管理モジュール「ATMFD.dll」に存在するものだという。攻撃者がこれを悪用して権限昇格し、サンドボックス機能を備えるセキュリティ対策製品を回避するとしている。