米アドビシステムズは2007年7月10日(米国時間)、同社の「Flash Player」にぜい弱性(セキュリティホール)が見つかったことを明らかにした。Flash Player 9.0.45.0以前(9.0.45.0を含む)をインストールしたWebブラウザーでは、細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルス)を実行される危険性がある。対策は、最新版にバージョンアップすること。
Flash Playerは、Flashコンテンツ(SWFファイルなど)をWebブラウザー上で再生するためのプラグインソフト。Flashコンテンツは非常に多くのWebサイトで公開されているので、ほとんどのユーザーはFlash Playerをインストールしていると考えられる。
そのFlash Playerに今回、複数のぜい弱性が見つかった。ぜい弱性は以下の3種類。
(1)特定の入力データを適切にチェックしないぜい弱性
(2)HTTP Refererヘッダーを適切にチェックしないぜい弱性
(3)Linux/Solaris版OperaとFlash Playerの併用で生じるぜい弱性
(1)により、細工が施されたSWFファイルを読み込むと、中に仕込まれた悪質なプログラムを実行される恐れがある。SWFファイルはWebページにアクセスするだけでWebブラウザーに読み込まれるので、悪質なWebページにアクセスしただけで被害に遭う。影響を受けるのは、Flash Player 9.0.45.0およびそれ以前のバージョン。
(2)により、攻撃者は細工を施したSWFファイルをユーザーに読み込ませることで、任意のRefererヘッダーを送信させることが可能となる。これを悪用すれば、Refererヘッダーでセキュリティ対策を行っているWebサイト(Webアプリケーション)においては、そのセキュリティ対策が回避される危険性があるという。Flash Player 8.0.34.0およびそれ以前のバージョンが影響を受ける。
(3)は、LinuxおよびSolaris版OperaまたはKonquerorと、Flash Player 7.xを使った場合に発生するぜい弱性。詳細については明らかにされていない。影響を受けるのは、LinuxおよびSolaris版のFlash Player 7.0.69.0およびそれ以前のバージョン。
対策は、最新版にバージョンアップすること。アドビシステムズでは、すべてのFlash Playerに対して、バージョン9.0.47.0(Windows、Mac、Solaris版)あるいはバージョン9.0.48.0(Linux版)にアップグレードすることを勧めている。
最新版は、同社の「Adobe Flash Player ダウンロードセンター」から入手可能。また、現在インストールされているFlash Playerのバージョンは「Adobe Flash Player」にアクセスすれば確認できる。Webブラウザーによって、インストールされているFlash Playerは異なる。このため、複数のWebブラウザーを使っている場合には、Flash Playerをそれぞれバージョンアップする必要がある。
- 米アドビシステムズが公開するセキュリティ情報(英語)
- 「Adobe Flash Player ダウンロードセンター」(最新版のダウンロードページ)
- 「Adobe Flash Player」(バージョンの確認ページ)