So-net無料ブログ作成

アドビ、ゼロデイ攻撃に対処した「Flash Player」の最新版公開 [update]

アドビシステムズは12日、深刻な脆弱性を修正した「Flash Player」の最新版を公開した。脆弱性を悪用する攻撃がすでに発生しているので、速やかにアップデートしていただきたい。

脆弱性の影響を受けるのは、Windows版とMacintosh版の「21.0.0.226」以前のバージョン、Internet Explorer/Edge搭載版の「21.0.0.213」以前のバージョン、Google Chrome搭載版の「21.0.0.216」以前のバージョンと、Linux版の「11.2.202.616」以前のバージョン。

 最新版では、すでに悪用が確認されている型の取り違えの問題(CVE-2016-411)を含め、任意のコードが実行されるおそれのある問題25件が修正されている。これらの脆弱性を悪用されると、システムが乗っ取られるおそれがある。

 同社のセキュリティ情報「APSB16-15」によると、アップデート後は、Windows版とMacintosh版、Internet Explorer/Edge/Google Chrome搭載版が「21.0.0.242」に、Linux版が「11.2.202.621」に更新される。延長サポート版の「18.0.0.343」以前のバージョンにも影響があり、最新の「18.0.0.352」が提供されている。

 ただし、Internet Explorer/Edge搭載版Flash Playerの最新版のバージョンについては、セキュリティ情報「APSB16-15」では「21.0.0.242」とされているが、同社が提供する「Flash Playerのバージョン確認」ページでは「21.0.0.241」とされており、食い違いが見られる。

 「21.0.0.241」は11日に公開されたマイクロソフトの5月度セキュリティ更新プログラムに含まれているバージョンだが、マイクロソフトのセキュリティ情報からは、このバージョンではゼロデイ攻撃が確認された脆弱性「CVE-2016-4117」が修正されていないように読み取れる。「21.0.0.241」で脆弱性がすべて修正されているのか、あるいは未修正の危険な状態であり、今後新たに「21.0.0.242」が公開されるのかはわからないという状況だ。

 システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

 Windows 8.1/10に搭載されているInternet ExplorerおよびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布され、自動的に更新される。直ちに更新したい場合は、コントロールパネルなどから[Windows Update]を開き、[更新プログラムの確認]をクリックする。

 Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 50.0.2661.102」が公開されており、こちらも自動的に更新される。自動更新された最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意したい。直ちに更新する場合は、メニューの[Google Chromeについて]を選択すると、確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の≡アイコン→[ヘルプと概要]と進むと[Google Chromeについて]が選択できる。

(2016/05/13 セキュリティ通信)

【関連URL】
・APSB16-15:Security updates available for Adobe Flash Player[英文](アドビ)
https://helpx.adobe.com/security/products/flash-player/apsb16-15.html
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリティ情報 MS16-064-緊急 Adobe Flash Playerのセキュリティ更新プログラム(マイクロソフト)
https://technet.microsoft.com/library/security/MS16-064
・Chrome Stable Update[英文](Google Chrome Releases)
http://googlechromereleases.blogspot.jp/2016/05/stable-channel-update.html

【関連記事:セキュリティ通信】
・Flash Playerの未修正の脆弱性を悪用した攻撃発生、無効化などの対策を(2016/05/11)
http://security-t.blog.so-net.ne.jp/2016-05-11-3