ある企業のシステム管理者から『Flash Playerに,またセキュリティ・ホールが発見されたようだ。しかし,社内にようやく定着したMicrosoft Updateとは異なり,Flash Playerのアップデートはなかなか社内に徹底できない。対処方法をアドバイスしてほしい』と相談を受けました。
「Adobe Flash Player」には繰り返しセキュリティ・ホールが発見されてきましたが,2009年2月24日にも米アドビ システムズは「APSB09-01 Adobe Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開」というセキュリティ情報を公開しました。その中では,各プラットフォームで最新版Adobe Flash Playerにアップデートするよう推奨されています。
[関連記事]Flash Playerに危険な脆弱性,動画ファイルを開くだけで被害の恐れ(2009/02/25)
影響は以下の幅広い製品に及びます。
「各プラットフォーム版(Linux版除く)Adobe Flash Player 10.0.12.36 とそれ以前のもの」
「Linux版 Flash Player 10.0.15.3 とそれ以前のもの」
「AIR 1.5」
「Flash CS4 Professional」
「Flash CS3 Professional」
「Flex 3」
対処方法は,今回のセキュリティ情報に合わせて更新された「Adobe Flash Player 10.0.22.87」などにアップデートすることです(アップデート後の各ソフトウエア・レベルと入手先は,「APSB09-01 Adobe Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開」に記載されています)。お勧めしませんが,旧バージョン「Adobe Flash Player 9」の更新版である「Flash Player 9.0.159.0」もリリースされています。
またここでは,5種類のセキュリティ・ホール,もしくはセキュリティ的な問題に対処したことが明示されています。 具体的には次の5種類です。
■攻撃者に任意のコード実行を許可する恐れのあるバッファ・オーバフロー問題(CVE-2009-0520)
■DoSにつながる入力検証時の問題(CVE-2009-0519)
■クリック・ジャッキング問題の変形型が発生する恐れを回避(CVE-2009-0114)
■Windows版のみのクリック・ジャッキング・アタックに潜在的に関与するマウスポインタ表示問題(CVE-2009-0522)
■Linux版のみの特権エスカレーションに至るFlash Playerバイナリの情報公開問題(CVE-2009-0521)
幸い,これらのセキュリティ問題のすべてがレポートの『謝辞』(Acknowledgments)という項に記載されています。明らかになったのはこのレポートが公開されてからであり,レポート公開前は既知のセキュリティ・ホールとして攻撃対象にはされていないと推測されます。 ただし,これまでの事例と同様に,これらのセキュリティ・ホールを突く,悪質なAdobe Flashコンテンツが直ぐに出現する可能性が高く注意が必要です。
私が相談を受ける各企業や組織では,「Microsoft UpdateによるWindows環境やMS Office環境の最新化」や「ウイルス対策ソフトのパターン・ファイルの最新化」は完全に定着したようです。また,PDF文書を閲覧するソフトの「Adobe Reader」についても,MS Officeと同様に,必要に応じて最新化しなければならないという認識が定着しつつあるようです。
問題なのは「Adobe Flash Player」です。Flash Playerに関しては自分自身がアップデートし続けなければならないのですが,以下のような誤解をまねきやすく,アップデートの認識が希薄なようです。
(1)「Adobe Flash Player」はWindowsパソコンを導入した新規の状態から入っている機能であり,自分で追加インストールしたものではない。以前,Microsoft Updateの対象になったこともあり,Microsoftがアップデート管理を一緒にしてくれているのではないか?
(2)「Adobe Flash Player」は他の多くのソフトと同様に,起動時などに自動で更新版リリースのチェックを行っているのではないか? また,「Adobe Flash Player」では,更新を促すメッセージを見たことがない。
(1)に関しては,「Adobe Flash Player」がMicrosoft Updateの更新対象になったことがあるという事実が混乱を招いています。しかし,以前のコラム『Webブラウザを使い続けるための“お勧め”設定【プラグイン管理編】 』で解説したように,『すべてのWindows OSで「Adobe Flash Player」が同梱されるわけではない』ことと,『「Adobe Flash Player」の全バージョンについて,マイクロソフトの責任でアップデートされるのではない』ということに注意が必要です。
例えば,Windows XP SP1は「Adobe Flash Player」バージョン 5.0.44を再配布し,Windows XP SP2/SP3およびWindows XP Professional x64 Editionは,バージョン 6.0.79を再配布しました。しかし,Windows Server 2003は,「Adobe Flash Player」を再配布していません。
また,マイクロソフトが再配布したバージョン/レベルが直接影響を受けるセキュリティ・ホールのみが,Microsoft Updateのアップデートの対象です。 例えば,セキュリティ警告レポート『Adobe のMacromedia Flash Playerの脆弱性により,リモートでコードが実行される(913433)(MS06-020)』や,『Adobe のMacromedia Flash Playerの脆弱性により,リモートでコードが実行される(923789)(MS06-069)』において,Microsoft Update経由でアップデートされた実績があります。しかしながら,利用者が自分でバージョンアップした「Adobe Flash Player」は,Microsoft Updateの対象外です。
