「Flash Player」に2つのゼロデイ脆弱性が見つかる

米国Adobe Systemsの「Flash Player」に、任意のコードのリモート実行に悪用可能な2つの脆弱性が新たに見つかった。米国US-CERT（U.S.Computer Emergency Readiness Team）や、複数のセキュリティ20+ 件調査会社がセキュリティ・アドバイザリで報告している。

　これらの脆弱性は、ロシアの脆弱性調査会社Intevydisによって発見された。同社はそれらを突くエクスプロイト・コードを同社の「Vulndisco」に統合済みだ。Vulndiscoは、米国Immunityの広く普及した侵入テスト・アプリケーション「CANVAS」のアドオン・モジュール。

　「これらの脆弱性をAdobeに通報する予定はない」と、Intevydisの創業者でCEOのエフゲニー・ルゲロフ（Evgeny Legerov）氏は語った。同氏は2年前、Intevydisが脆弱性を発見してもベンダーに通報しない方針に転換したことを明らかにしている。

　こうした「タダではバグ報告をしない」というアプローチを取っているセキュリティ20+ 件企業は、Intevydisだけではない。フランスの脆弱性調査会社Vupenもこの考え方を掲げており、同社が発見したセキュリティ問題について、有料顧客にのみ情報を提供している。

　Flash Playerの2つの脆弱性を突くIntevydisが開発したエクスプロイト・コードは、「DEP（Data Execute Prevention：データ実行防止）」や「ASLR（Address Space Layout Randomization）」といったWindowsの脆弱性悪用防止機能をすり抜け、「Internet Explorer（IE）」のサンドボックスを回避すると、ルゲロフ氏はImmunityのメーリング・リストへの12月6日付けの投稿で説明している。

　また、Intevydisは、これらのエクスプロイト・コードのWindows上での挙動を示した動画を公開したほか、これらのコードのMac OS X版もリリースすることを約束している。

　Flash Playerの脆弱性は、不正なFlashコンテンツをWebサイトやPDFドキュメントに埋め込むことで悪用できる。「Adobe Reader」と「Adobe Acrobat」はFlash再生コンポーネントを搭載しているため、一般的にFlash Playerの脆弱性の影響を受ける。

　Adobeは、Intevydisが発見した2つの脆弱性についてアドバイザリを公開しておらず、コメントを求めたが、現時点で回答は得られていない。Adobeは、Adobe Readerの別のゼロデイ脆弱性のパッチを準備しており、今週公開する予定だ。

　SANS Internet Storm Center（ISC）によると、ウイルス対策企業や侵入検知システムのプロバイダーは、Intevydisが発見した2つの脆弱性のエクスプロイト・コードに対応するシグネチャをまだ作成していないという。一方、Intevydisのエクスプロイト・コードは、悪意ある個人によってリバース・エンジニアされるおそれがある。

　現時点では、Flash Playerのこれらの脆弱性を悪用した攻撃の実例は確認されていない。しかし、セキュリティ20+ 件を重視するユーザーは、パッチがリリースされるまで、Flashをブロックする技術をWebブラウザで利用し、Adobe ReaderでFlashサポートを無効にしたほうがよさそうだ。

(Lucian Constantin／IDG News Serviceルーマニア支局)