Flash終わったと騒がれる中、IEでもゼロデイ脆弱性

150714adobeFB.jpg

Flashをデフォ停止したChromeに続いて、FireFoxも穴が塞がるまでデフォ停止を発表。Flashが大変なことなってますね。

ヤフーからフェイスブック最高セキュリティ責任者(CSO)に先月移籍したAlex Stamosさんも、脆弱性だらけでもうウンザリだ!塞いでも根本解決にはならない!ゲームオーバーにしようぜ!とアドビにFlash終了宣言するよう呼びかけて、まるでジョブズ乗り移ったかのようです。

騒ぎの発端は先週、世界中の政府・警察・治安当局にスパイウェアを提供する伊Hacking Team社がハックされて、400GB分のデータがネットに流出した事件。あの漏洩情報の中に、Hacking Teamが侵入で愛用していたゼロデイ脆弱性の情報が含まれていたんです。

うちひとつ(CVE-2015-5119)はアドビが急遽パッチを発行しました(Flash使ってる人は今すぐアプデを!)。

ただ、大穴が塞がって胸をなでおろしたのも束の間。同じ400GBの漏洩データの山から、あと2つ別のFlashのゼロデイ攻撃の脆弱性が発見され、もはや穴といえばFlash、Flashといえば穴みたいな状況に。

7月10日、さらに別の 2つの Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2015-5122」と「CVE-2015-5123」が確認されました。新たに確認された 2つの脆弱性も「CVE-2015-5119」と同じオブジェクト関数「valueOf」を悪用するものです。また、この 2つの脆弱性に関しては、現時点でまだ修正プログラムが公開されていないゼロデイ脆弱性の状態となっています。―トレンドマイクロ公式サイトより

危険度は4段階で最高位のクリティカル。早く塞がるといいですね…と書いてたら塞がりましたが(Flashアプデした人は今すぐ再アプデを!)。

ちなみに、このあとMSで一番安全と思われていたWindows 7と8.1の最新版IE 11でもゼロデイ脆弱性が2つ見つかって、アプデで塞がれていたことが判明してます。こっちも危険度4。

ひとつはVectra Networksから、もうひとつはグーグルのProject ZeroからHacking Team社に通報があったもの。前者は使われてたかどうかわからないのですが、後者はFlashの穴とコンボでハックに使用されてた模様です(IEのみなさまは今すぐアプデを!)

Hacking Teamハッキング事件で露呈した穴は都合5つとなりました。

source: @alexstamos via The Verge, Ars Technica

(satomi)