昨日公開されたレポートの中でSymantecは,Hacking Teamの突破によって明らかになったFlashのゼロデイ脆弱性が,リモートから悪用される可能性があることを確認した上で,結果的にゼロデイ攻撃が起こる可能性を警告した。脆弱性の分析結果から,完全にパッチされたFlash実装であっても,脆弱な,または特別に加工されたファイルをロードすることで,リモートからの悪用が可能になることが確認されている。
今回のゼロデイ攻撃はかなり稀なケースだ。一般的に脆弱性は,‘責任ある開示’の形で公開される。コードが修正され,アップデートが公開されるまでは,バグの詳細は公開されないのが通例だ。Adobe Flashの場合,通常ならば,近々リリースが予定されている次のアップデートで,1ヶ月単位をベースに実施される。ところが今回は脆弱性が公表されないまま,Hacking Teamによってリモート攻撃の手段として利用されたのだ。
そのHacking Teamが昨日,自らがハッキングの被害のあったことから,そこに含まれていた未修正のFlashのバグ情報が流出する事態になった。このような経緯でバグの所在が公になった上に,パッチが未提供であるため,ソフトウェアの提供者にとって,そのフィックスとパッチリリースが時間との戦いになったのだ。
それとは別にSymantecは,対策としてFlashを無効にすることを推奨し,その実行手順を公開した。ChromeがFlashを有効にした状態をデフォルトとして提供されているため,ユーザは知らないうちに脆弱性を被っている可能性がある。それまでFlashを意識的にインストールした経験がなければ,危険性はさらに高い。