米国 Adobe は同社製品に対するパッチを定期的にリリースしている。だが2月4日、同社はスケジュールにはない緊急のパッチをリリースした。Windows、Mac、Linux 上で動作する Adobe Flash プレイヤーのゼロデイ脆弱性に対応したものだ。

Adobe、Flash Player のゼロデイ脆弱性に対応した緊急パッチをリリース

Adobe によれば、このゼロデイ脆弱性を突いた攻撃はすでに確認されているという。脆弱性を悪用された場合、システムがアタッカーにより乗っ取られる可能性がある。同社が公開したセキュリティ情報には次のようにある

「この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、アタッカーによって PC がコントロールされたりする可能性がある」

影響を受けるシステムは、Windows 版および Macintosh 版の Adobe Flash Player 12.0.0.43 およびそれ以前のバージョンと、Linux 版 Adobe Flash Player 11.2.202.335 およびそれ以前のバージョン。

Adobe Flash Player のアップデートは、以前は利用者が手動で実施する必要があった。だが現在、この状況は改善されている。たとえば Google Chrome では、Flash Player はブラウザに直接統合されており、Chrome の自動アップデートが実施された際に Flash コンポーネントも同時にアップデートされる仕組みになっている。

Microsoft の Internet Explorer 10 および 11 も、Flash Player をその内部に統合している。Microsoft からのパッチが適用されれば、Adobe Flash Player も最新のものとなる。

Mozilla の Firefox と Apple の Safari ブラウザでは、Adobe Flash Player は統合されてはいない。これらのブラウザの利用者は、Adobe のサイトから最新版の Flash をダウンロードしてアップデートすることになる。だが多くのユーザーは、Adobe Flash Player の自動アップデート機能をオンに設定し、この機能を利用している。

セキュリティの専門家は、Web ブラウザの Flash プラグインを必要なときだけ有効にするよう利用者に呼び掛けているが、今回の Flash Player のゼロデイアップデートは、この主張の正しさを再認識させるものだ。Tripwire のセキュリティリサーチャーである Craig Young 氏は次のように述べている。

「Chrome や Internet Explorer のように Adobe Flash テクノロジーを統合しているブラウザーでは、必要がないときには Flash を無効に設定しておくべきだ」

Adobe の Flash Player はかつてアタッカーによる最大のターゲットとなっていた。2009年、Adobe には定期的なパッチリリーススケジュールはなく、ゼロデイ脆弱性に対応するプロセスも持っていなかった。だが Adobe はその後プロセスを全面的に見直し、セキュリティ向上に取り組み、その状況を一変させた。Adobe 最高セキュリティ責任者である Brad Arkin 氏は昨年、eWeek のインタビューに対して次のように語っている。

「Adobe は数年かけて、Adobe Reader と Flash Player の利用者を保護できる体制を構築してきた。我々は今後もこの努力を継続していく」

Adobe 最高セキュリティ責任者である Brad Arkin 氏
Adobe 最高セキュリティ責任者である Brad Arkin 氏

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。