米Mozillaは現地時間2015年7月13日、「Flash Player」の致命的な脆弱性からユーザーを保護するためとして、「Firefox」ブラウザーでFlash Playerプラグインの全バージョンを無効にしたことを明らかにした。米Adobe Systemsが7月14日にリリースした修正済みFlash Playerに更新することで、プラグインの使用を再開できる。
Flashは広く普及していると同時に、サイバー攻撃で頻繁に狙われることでも知られている。今月初めに、ハッキングソフトウエアを販売するイタリアHacking Teamから盗まれた約400Gバイトのデータがオンラインで公開され(関連記事:政府に監視ソフトを販売するイタリア企業がハッキング被害に)、これによりFlashの重要なバグが新たに複数明らかになった。
そのうち、直近で見つかった「CVE-2015-5122」と「CVE-2015-5123」の2件は「致命的」とされている。トレンドマイクロは発見当初、まだ実際の攻撃に使われたり、攻撃ツールに統合されたりした形跡はないとしていたが、その後「Kafeine」と名乗るセキュリティ研究者が、複数の攻撃ツールにCVE-2015-5122が統合されているのを確認したと報告している(米The Vergeや米ZDnetの報道)。
Flashの重大な脆弱性が相次いで見つかっていることを受け、米FacebookのAlex Stamos最高セキュリティー責任者(CSO)は7月12日に、「AdobeはFlashの終了日を発表し、Webブラウザーに対して同じ日にFlashを無効化するよう求めるべきだ」とTwitterアカウントから発言した。
なお、米Googleも「Chrome」ブラウザーでFirefoxと同様の措置をとっている(米Wall Street Journalの情報)。
[発表資料へ]
