Flash Player最新版も乗っ取り可能な攻撃方法が流出する

【セキュリティ ニュース】Flashにゼロデイ脆弱性 - 政府機関向け内偵ツールが利用(1ページ目 / 全1ページ):Security NEXT

問題の脆弱性は、イタリアのセキュリティ企業であるHackng
Teamから大量のデータが流出し、明らかとなったもの。同社は政府や法執行機関などへ犯罪捜査用などとして、ハッキングスイート「Remote
Control System(RCS)Galileo」を提供していることで知られている。

今回流出したデータの一部に実証コード(PoC)や攻撃ツールが含まれていたことが判明。そのなかに未公表で修正プログラムも提供されていない
「Adobe Flash
Player」の脆弱性を悪用する機能を実装していた。米時間6月23日にセキュリティアップデートとして公開された「Adobe Flash
Player 18.0.0.194」に関しても影響を受けると見られる。

400GB of info leaked from Hacking Team
今回、そのイタリアの監視ツールの販売会社であるHackingTeam を何者かが攻撃し、Twitterアカウントのログイン情報やメール、機密情報などを含む400GBのファイルをだれでもダウンロードできる場所に公開しました

要するに、ハッキングツールを提供していた企業がこっそり、脆弱性を知りながら、それを利用する方法でハッキングツールを作成して販売していたのですが、その攻撃方法などを含む機密情報がフリーのアップロードサイトに公開されて、だれでも、その脆弱性を利用することができるようになった

ってことですね。

やっぱり、Flash Player 危ないなぁ…
流出したのは Windows の未修整の脆弱性もあるそうですが、すぐに影響受けるのは
FlashPlayer や Java ですね。

とりあえず
・IEではFlashPlayerを使わない
・Firefoxなどでは実行時に確認するようにする

fls
ってのが対策ですかねぇ・ω・

まぁ、怪しいサイトに行かないってのも大事ですよ(震え声)
Javaが古いとサポート中OSも簡単にウィルスに感染する例

おすすめ

2件のフィードバック

  1. windswept より:
    2015年7月8日 2:55 PM

    https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
    とありますが既に来てます 18.0.0.203

    返信
  2. 黒翼猫 より:
    2015年7月9日 6:32 PM

    お昼から、仕事の合間にパッチ作成中ですしばらくお待ちください

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です