米Adobe Systemsは現地時間3月14日,同社の「Flash Player」や「Shockwave Player」などに危険なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたファイルを読み込むだけで,悪質なプログラム(ウイルスなど)を実行される可能性がある。また,そのようなファイルが置かれたWebページにアクセスしただけで被害を受ける可能性がある。
Flash PlayerはWindows XPなどのAdobe製品以外にも含まれているので,多くのユーザーが影響を受ける。対策は,Flash Playerなどのアップグレード。マイクロソフトでも,この件に関するセキュリティアドバイザリを公開している。
Webページにアクセスするだけで被害に
今回のセキュリティ・ホールは,Flashファイル(.swf)に関するもの。細工が施されたswfファイルを読み込もうとすると,ファイルに仕込まれた任意のプログラムがパソコン上で勝手に実行されてしまう。
Flash PlayerなどはWebブラウザのプラグイン(アドイン)として提供されているので,ユーザーが明示的にswfファイルを開かなくても,そのようなファイルが置かれたWebページにアクセスしただけで,任意のプログラムが勝手に実行される可能性が高い。Adobeではセキュリティ・ホールの詳細を明らかにしていないが,とても危険なセキュリティ・ホールであることは間違いない。影響を受けるユーザーは,すぐに対策を施す必要がある。
セキュリティ・ホールが確認されているのは以下の製品。
- Flash Player 8.0.22.0 および それ以前のバージョン
- Shockwave Player 10.1.0.11 および それ以前のバージョン
- Breeze Meeting Add-In 5.1 および それ以前のバージョン
- Flash Professional 8, Flash Basic
- Flash MX 2004
- Flex 1.5
Flash PlayerはWindowsの一部にデフォルトでインストールされている。また,多くのサードパーティ製品に含まれている。このため,自分でインストールした覚えがなくても,ほとんどすべてのユーザーが影響を受けると考えたほうがよい。
現在インストールされているFlash Playerのバージョンは,「Macromedia Flash Player」にアクセスすれば確認できる。また,「Macromedia Shockwave と Flash Playerのテスト」のページでは,Shockwave PlayerとFlash Playerの有無およびバージョンを確認できる(インストール直後は,一度すべてのブラウザを閉じないと,バージョン情報が適切に表示されない場合があるので注意)。
対策は,セキュリティ・ホールを修正した最新バージョンにアップデートすること。Flash Playerについては,「Macromedia Flash Player ダウンロードセンター」から入手できる。最新版は,8.0.24.0。なお,最新版を適用できない環境(Windows 95やNTなど)では,バージョン7用のパッチを適用する。バージョン7用のパッチを適用すると,バージョンは「7.0.63.0」になる。
Shockwave Playerの最新版は,「Shockwave Playerダウンロードセンター」から入手できる。最新版のバージョンは「10.1.1」以降。Flash Professional 8やFlash MX 2004の最新版は「その他のダウンロード」からダウンロードできる(これら以外の最新版の入手先については,Adobeの情報などを参照してほしい)。
なお,すぐにパッチを適用できないWindows環境については,マイクロソフトが設定変更による回避策を紹介している。
◎参考資料
◆APSB06-03 Flash Player Update to Address Security Vulnerabilities
◆Macromedia Flash Player ダウンロードセンター
◆Shockwave Player ダウンロードセンター
◆マイクロソフト セキュリティ アドバイザリ (916208) Adobe Security Bulletin: APSB06-03 セキュリティの脆弱性を解決するための Flash Player の更新
◆Flash Player upgrade for operating systems that do not support Flash Player 8
