昨日、Adobeは「Security Advisory APSA11-02」を公開した。同アドバイザリによれば:

  「Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。」

  そして…この新しい脆弱性は現在、広く悪用されている:

  「この脆弱性を悪用し、Windowsプラットフォームを標的に、メールの添付ファイルとして送信されたMicrosoft Word(.doc)内に埋め込まれたFlashファイル (.swf) を経由して、標的型攻撃が行われているという事例が報告されている。」

  Officeに埋め込まれたFlashファイル?

  この攻撃ベクタは、Brian Krebsからの次のような質問を生み出した:「だれか、MS OfficeファイルでFlashオブジェクトのレンダリングを全面的にオフにする、信頼できる方法を知っているか?

  我々は、簡単にアンインストールできるものを何故オフにするのか、と思う。

  我々は通常、Internet Explorerを使用しないので、IEバージョンのFlash Playerが使用可能である必要はまったく無い。Web上のFlashには、指定されたブラウザ(IE以外の)を使用することができる。あなたには本当に、OfficeでFlashが使用可能である必要があるのだろうか?

  以下は、ActiveX版のFlashがインストールされていない状態で、埋め込み型のFlashコンテンツを含むドキュメント/スプレッドシート/プレゼンテーションを開くと、Microsoft Officeが出すプロンプトだ。

Some controls on this presentation can't be activated.

  「非IE」版のFlash Playerはもちろん、依然としてエクスプロイトに脆弱だが、それらのバージョンに対して(電子メールを介して)標的型攻撃が成功することを想像するのは難しい。そして多分それが、現在の攻撃がOfficeを使用している理由だろう。

  ちなみに、Flash Player(10.3)の次のバージョンは、コントロールパネルアプレットを含むようだ:

Flash control panel applet

  期待が持てそうだ:

Flash Player Settings Manager