Flash Playerにゼロデイの脆弱性、大規模被害の恐れも - ITmedia News

 SANSなどの情報を総合すると、エクスプロイトはFlashのバージョン9.0.124.0とバージョン6.0.79.0の脆弱性を突いた亜種がそれぞれ作成されており、Internet ExplorerFirefoxの両方で脆弱性を悪用する亜種が存在する模様だとMcAfeeは伝えている。

 McAfeeの調べでは、悪質なSWFファイルは最近多発しているWebサイトの改ざん攻撃と関係があることも判明。改ざんされ、Flashのエクスプロイトを参照させるスクリプトが仕掛けられたサイトをGoogleで検索したところ、25万ページがヒットしたという。

既に、あちらこちらで取り上げられていますが、忘れないようにメモ。


追記
「Flash Player」に新たな脆弱性--JavaScriptで危険なサイトにリダイレクト - CNET Japan

 Symantecはユーザーに対し、ブラウザ「Firefox」の拡張機能「NoScript」など、スクリプトを無効にするプラグインを使用して、埋め込まれたFlash Playerスクリプトがロードされるのを防ぐよう推奨している。

これって、「詳細はこのページに掲載されている。」のSecurity Focusのページでは見つからないんだけど。

UPDATE: Continued investigation reveals that this issue is fairly widespread. Malicious code is being injected into other third-party domains (approximately 20,000 web pages), most likely through SQL-injection attacks. The code then redirects users to sites hosting malicious Flash files exploiting this issue.

Googleでリダイレクトされるっていうホストで日本語のページを検索してもが見つかるし、使っていたほうがいいとは思うけど。
関連
http://d.hatena.ne.jp/noushibou/20080504/1209862363
NoScriptは使い慣れないと結構難しいと思うけどなぁ。
さらに追記
JVNVU#395473 Adobe Flash Player に任意のコード実行の脆弱性 緊急
こちらのリンクから

Workarounds for users

 Using the Mozilla Firefox NoScript extension to whitelist web sites that can run scripts and access installed plugins may prevent this vulnerability from being exploited. Note that NoScript is not likely to stop all attack vectors for this vulnerability, see the NoScript FAQ for more information.

Vulnerability Note VU#395473 - US-CERT

なるほど。


5/29 追記
soloさんからFirefox + NoScript以外での防御法に関してコメントいただきました。ありがとうございます。m(_ _)m
さらに追記

ウイルス対策掲示板 - Flash Playerにゼロデイの脆弱性
http://antivirusbbs.hp.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3294&type=0&space=0&no=0#3297

雨月院さん wrote

現在流布している,悪意のあるファイルの利用する脆弱性は既知のものであったようです.
この脆弱性は最新の9.0.124.0では修正されています.

UPDATE: We've just gotten confirmation from Symantec that all versions of Flash Player 9.0.124.0 are not vulnerable to these exploits.
Again, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.

Potential Flash Player issue - update

Flash Playerの脆弱性はゼロデイにあらず? 情報が錯綜中 - ITmedia News
Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表 - INTERNET Watch


ウイルス対策掲示板でドリッパさんが、この記事のコメント欄でanjuさんが書かれていますが、Windows XP SP3を適用すると、とんでもなく旧バージョンのFlash.ocx 6.0.79がインストールされます。SP3適用後はすぐにuninstall_flash_player.exeですべてのバージョンのFlash Playerをアンインストール後に最新バージョンのFlash Playerをインストールすることをお勧めします。
関連
http://d.hatena.ne.jp/noushibou/20080518/1211084660