Flash Player のセキュリティアップデートが公開されました。特に、Windows と Mac 版は、攻撃の対象とされたことが判明している脆弱性の修正を含むため、緊急での更新が呼びかけられています。
新しい Flash Player のバージョンは以下の通りです。
- 11.5.502.149 Windows と Mac OSX
- 11.2.202.262 Linux
- 11.1.115.37 Android 4.x
- 11.1.111.32 Android 3.x と 2.x
Windows と Mac 以外のプラットフォームも緊急性は低いものの、影響度は一番高い Critical とされています。早めに更新しておいた方が良さそうな感じです。
なお、Chrome と Windows 8 に関しては、バージョンもアップデートの入手方法も異なります。
Chrome に含まれる Flash Player の場合は、セキュリティアップデートのバージョンは 11.5.31.139 です。こちらは、通常の Chrome の更新の一部としてアップデートされます。
Windows 8 (IE 10) の場合は、新しい Flash Player のバージョンが 11.3.379.14 になります。こちらも、Windows アップデートのタイミングで更新されると思われます。
(日本語環境でも利用できるかは未確認ながら、US の MS のサポートページから更新版がダウンロードできるようです)
MS オフィスファイル経由でのアタック
Microsoft Office 2010 から、ドキュメント内に含まれるコンテンツの権限を制限するプロテクトモードが採用されました。そのため、Office 2010 を利用していれば、Flash Player の脆弱性を突こうとするコンテンツを含んでいるファイルを開いても、それが外部からダウンロードしたファイルであれば、Flash コンテンツは実行されないのがデフォルトです。
しかし、Office 2008 以前のバージョンでは、標準の設定のままだと、Flash Player はサンドボックスの制限なしに実行されます。もし、見つかっていない、あるいは、対処されていない脆弱性が攻撃者に発見された場合には、これは決して望ましい状態ではありません。
そこで、次に公開される予定の Flash Player では、Microsoft Office 内で実行された場合に、実行された Microsoft Office のバージョンを確認し、Microsoft Office 2010 よりも前のバージョンであった場合には、警告のダイアログを表示するようになるそうです。
ダイアログ内では、「コンテンツを実行しない」 がデフォルトで選ばれているため、明示的に 「コンテンツを実行する」 を選択して 「次へ} ボタンを押さない限り、Flash コンテンツが実行されることはなくなります。
この修正により、攻撃の成功の難易度を上げると共に、Microsoft Office を使った攻撃の試み自体が減ることを期待しているとのことです。
コメントする