Mozilla は7月14日、Adobe の Flash Player プラグインをブロックすると発表しました。この措置により Firefox ブラウザのデフォルト設定において、バージョン18.0.0.203以前の Flash Player プラグインがブロックされます。
一方、米アドビシステムズ は同日、対象となる脆弱性対策を施した Flash Player (バージョン18.0.0.209) を公開しています。
Flash Player はウェブサイトの動画プレーヤーや広告など、無数のウェブサイトで利用されています。しかし、外部からの攻撃にさらされる危険性がある脆弱性もこれまで無数に発見され、みつかっては修正を繰り返してきました。
6月、Windows、Mac、Linux 版の各 Flash Player に PC を乗っ取られる可能性があるゼロデイ脆弱性が見つかり、大きなニュースとなりました。7月にはイタリアのセキュリティ企業 Hacking Team が攻撃を受け、そのときに流出した400GBにおよぶ情報の中に Flash のゼロデイ脆弱性に関する情報が含まれていたことも明らかになっています。
そして7月13日、Flash Player に新しく2つの脆弱性が発見されました。情報処理推進機構(IPA)の警告によると、「ウェブを閲覧することで DoS 攻撃や任意のコード(命令)を実行される可能性がある」、「脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性がある」としており、その危険性は最高ランクの位置づけです。
脆弱性はFirefoxに限らず、あらゆる Flash Player に含まれます。具体的には以下のとおり。
- Adobe Flash Player:18.0.0.203 およびそれ以前のバージョン (Windows版およびMacintosh版)
- Adobe Flash Player:18.0.0.204 およびそれ以前のバージョン (Google ChromeがインストールされたLinux)
- Adobe Flash Player Extended Support Release:13.0.0.302 およびそれ以前の13.xのバージョン (Windows版およびMacintosh版)
- Adobe Flash Player Extended Support Release:11.2.202.481およびそれ以前の11.xのバージョン (Linux版)
度重なる重大な脆弱性の発見を受けて、Firefox ブラウザを開発する Mozilla はデフォルト設定で Flash Player プラグインをブロックすることを発表しました。Mozilla のサポートチームリーダー、マーク・シュミットは Twitter への投稿で「Flash の全バージョンを Firefox のデフォルト設定でブロックした」と宣言しています。
BIG NEWS!! All versions of Flash are blocked by default in Firefox as of now. https://t.co/4SjVoqKPrR #tech #infosec pic.twitter.com/VRws3L0CBW
— Mark Schmidt (@MarkSchmidty) 2015, 7月 14
マーク・シュミットは後のツイートで「Flash Player プラグインのブロックは脆弱性が塞がれたバージョンが出るまで」としつつも、スティーブ・ジョブズが2010年に語った「もはや Flash は必要ではない」という言葉を引用したり、「Flash はマルウェアと変わらない」と発言し、ウェブデベロッパーに対して Flash ではなく HTML5 を利用した開発を薦めています。
なお、アドビは7月14日午後、13日にみつかった2件の脆弱性を修正したバージョン18.0.0.209をリリース済みです。Firefox ユーザーで Flash Player の更新を"自動"に設定していない人は、すぐに更新することをおすすめします。また Chrome は最新版 v43.0.2357.134 に Flash Player のバージョン18.0.0.209を同梱。さらにInternet Explorer 10 および 11 は7月15日付のWindows Update で最新の Flash Player を供給しています。
ちなみに、今回の2件の脆弱性については、Facebook のセキュリティ担当責任者アレックス・スタモスも「そろそろ Flash の最終使用期限を決めて、終了を宣言すべき」と発言しています。