アドビ システムズは11月5日,予告していた通り,「Adobe Flash Player 9.0.151.0」をリリースしました。前回のコラムで紹介しましたが,“クリップボード・アタック”など5種類のセキュリティ問題を解消した,「Flash Player 9」の最新版です。
対応済みの最新バージョンである「Flash Player 10」の約3週間後とはいえ,旧バージョンのアップデートが予告通りになされたことは評価すべきです。ただ,旧バージョンの「Flash Player 9」は公開されていた5種類のセキュリティ問題以外に,さらに6種類のセキュリティ問題を抱えていたことが判明しました。
これとは別に同社は,PDFファイル閲覧ソフトのAdobe Readerについても,11月4日に「Adobe Reader 8.1.3」をリリースしました。これも旧バージョンである「Adobe Reader 8」の最新版ですが,この時点で,Adobe Reader 8は8種類のセキュリティ問題を抱えていたことが判明しました。2008年7月2日にリリース済みの最新バージョン「Adobe Reader 9」は全く影響を受けませんから,Adobe Reader 8は約4カ月間にわたって未発表のセキュリティ問題を抱えたままだったと推測されます。
どちらも既に「Flash Player 10」,「Adobe Reader 9」という最新バージョンがリリースされていますが,旧バージョンも継続的に更新されています。こういう状況にあると,利用者側としては最新バージョン,旧バージョンの最新版のどちらを使うべきか迷うかもしれません。推奨はあくまでも最新バージョン,つまりFlash Player 10とAdobe Reader 9へのアップデートです。
というのは,旧バージョンの更新はOSが古いなどの理由から最新バージョンを導入できないユーザー向けだからです。今回のことから分かるように,旧バージョンのぜい弱性対応は最新版での対応に比べると遅れがちです。ぜい弱性を抱えたままのソフトウエアを利用している期間をできるだけ短くするには,最新バージョンを使うべきです。
追加修正されたぜい弱性への攻撃可能性は低い
11月5日にリリースされた「Flash Player 9.0.151.0」は,日本語で用意されている通常のダウンロード・メニューからたどる「Adobe Flash Playerダウンロードセンター」のページではダウンロードできません。「Flash Player 9 for Unsupported Operating Systems」という日本語化されていないサポート用のWebページからダウンロードする必要があります。
ページのタイトルも「サポートされていないOSのためのFlash Player 9」という意味で,最新バージョンである「Flash Player 10」が対応していないWindows 98やWindows Meのための救済という位置付けです。
説明文にも「アドビは,サポートされたシステムのすべてのFlash Playerユーザーが,Flash Player Download Centerを通してPlayerの最新版に更新するよう勧めます」と書かれていて,Flash Player 10のダウンロード・ページへのリンクが張ってあります。つまり,アドビ自身も最新バージョン「Flash Player 10への移行を強く推奨しているのです。
アドビの「セキュリティ情報」も更新され,「APSB08-20 Flash Playerの脆弱性に対処するためのアップデート公開」というレポートが11月4日に公開されたことが分かります。原稿を執筆している11月11日現在では,一覧に掲載されたレポートのタイトルだけが日本語化されており,レポートそのものはオリジナルの英語情報へのリンクです。
ここには,Flash Player 9.0.151.0が合計11件の問題に対応したことが明示されています。10月15日に公開済みの「APSB08-18 Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開」の5種類のセキュリティ問題と,未発表だったさらに6種類のセキュリティ問題です。ちなみに,10月15日に公開された最新バージョン「Flash Player 10」はすべて対処済みです。
注:11月17日には,「APSB08-22 Additional disclosure of security vulnerabilities fixed in Flash Player 10.0.12.36 and Flash Player 9.0.151.0」というセキュリティ・レポートが公開され,対応済みではあるものの,未発表のセキュリティ問題をさらに1種類(CVE-2008-4824)抱えていたことが明らかになりました。
Flash Player 9については,これら11件の問題点の解決が20日ほど遅れたことになります。救いは,追加で発表された6種類のセキュリティ問題が,レポートの『Acknowledgments』(謝辞)という項にすべて記載されていることです。つまり,6件のぜい弱性は,このレポートが公開されるまでは未知のセキュリティ・ホールで,各種セキュリティ対応団体や個人がアドビに対して事前に直接連絡をとったために発見されたことを意味します。このため,攻撃対象にはなっていなかったと推測されます。
【10月15日に公開された「APSB08-18 Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開」で発表済みだったセキュリティ問題】
■Clickjacking問題(CVE-2008-4503)
■cross-domain policy filesのFlash Playerの解釈の強化(CVE-2007-6243)
■“potential port-scanning”問題(CVE-2007-4324)
■“Clipboard attacks”問題(CVE-2008-3873)
■FileReferenceアップロードとダウンロードAPIの変更(CVE-2008-4401)
【11月4日に公開された「APSB08-20 Flash Playerの脆弱性に対処するためのアップデート公開」で追加発表された未発表だったセキュリティ問題】
■“potential cross-site scripting attack”問題(CVE-2008-4818)
■“DNS rebinding attackの攻撃者を手助けする”潜在的問題(CVE-2008-4819)
■“HTML injection”潜在的問題(CVE-2008-4823)
■“non-root domain policy”関連の潜在的問題(CVE-2008-4822)
■“情報漏えいにつながるMozillaブラウザーのプロトコル”関連の潜在的問題(CVE-2008-4821)
■“ActiveX control版Flash Playerの情報漏えい”関連の潜在的問題(CVE-2008-4820)
