多くの企業にベストプラクティスがあるが、連邦政府や州政府のお役所にハッキングツールを売ってきた“コンピュータセキュリティのエキスパートの集団”Hacking Teamも、その例外ではない。同社の情報データベースにはおもしろいハッキングティップがいろいろ載っていて、その中にはAdobe Flashのまだパッチされてないゼロデイホールへの言及もある。Adobeは目下、その穴を閉じる工事をやっている。
セキュリティ研究家のBrian Krebsが数日前にそのドキュメントを、ハッカーたちがリークしたデータの山の中に見つけた。Hacking Teamが概念実証のためにやってみた攻撃は、WindowsやOS Xのカリキュレーター(電卓)を開く、といういたずらだが、もっと悪質なバージョンもある、とそのドキュメントには書かれている。
Adobeは今日(米国時間7/8)、Security Bulletin CVE-2015-5119をポストして、今その穴を塞ぐ作業をしている、と述べている。
セキュリティ企業のTrend Microは、“現時点ではユーザはこの脆弱性についてそれほど心配する必要はない。実際の犯行はまだ発見されていない。今後は必要に応じて、このポストの内容を更新していく”、と述べている。しかしHacking Teamがこの脆弱性の新たな悪用の方法を発見したかどうか、それがまだ明らかでない。
ひとつだけはっきりしているのは、Flashを無効にした方が良さそうだ、ということ。Krebsは曰く、“疑問の余地なくAdobe Flash Playerは攻撃者の主要なターゲットの一つだ。AdobeがFlash Playerのゼロデイ欠陥を修復する緊急アップデートを発行するのは、この数か月間で今回が7度目だ”。