日本語版のマイクロソフト セキュリティ アドバイザリも出るはずですが、Published: January 12, 2010 Microsoft Security Advisory (979267) “Vulnerabilities in Adobe Flash Player 6 Provided in Windows XP Could Allow Remote Code Execution” が出ています. 『Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される Windows XP には、Adobe 社のAdobe Flash Player 6 が含まれています。そのFlash Plyaerを最新バージョンにすることを推奨することをお知らせするものです。 すでに、最新のAdobe Flashを利用している場合は影響を受けません。』【これは「日本のセキュリティチーム」の2010年1月13日のセキュリティ情報 (月例)で書かれています】チームのブログでは『なお、最新の Flash Player は、以下のURLから入手できますが、インストールの際に Flash Player以外のものもインストールしようとするので、「同時にインストール:」以下のチェックボックスをOFFにしてから、「今すぐインストール」をクリックすることをお勧めします。同時にインストールするものが、何であるか理解して、インストールすることを望むのであれば、チェックボックスをOFFにする必要はありません。』 私も同感です.
2009年12月09日、Release date: December 8, 2009 | Security updates available for Adobe Flash Playerがでました.Adobe Flash Player version 10.0.32.18 とそれ以前のバージョンにユーザーが気付かずに悪意のプログラムを実行される脆弱性があることが判明したということです.バージョン 10.0.42.34 が最新版としてダウンロードできます.
私は 10-0-42-34_install_flash_player.exe のファイル名で保存(1,880 KB)して Firefox、Opera に適用しました.尚、ダウンロードページには 「同時にインストール: □ 無料のMcAfee Security Scan」や「□ Google ツールバー」などが一緒に表示されるケースがありましたが、私は要らないのでチェックマークを外しておきました.
2009年08月01日、Vulnerability identifier: APSB09-10 Security updates available for Adobe Flash Player, Adobe Reader and Acrobat [Release date: July 30, 2009 : Last updated: July 31, 2009] で Flash Player 10.0.32.18 へのアップデートが公開されました.処置方法はいつもと同じです.
私は Firefox、Opera用に 10-0-32-18-install_flash_player.exe 1,880KB の名前で保存して適用しました.
Internet Explorer はインターネット・オプションからインターネットゾーンのセキュリティ・レベルを「既定」に戻して、ダウンロードページで直接処理させています.処理が終わればこのレベルは当然「高」に再設定します.
2009年07月30日、Vulnerability identifier: APSB09-11 “Security update available for Shockwave Player” ではバージョン 11.5.1.601 が公開されています.(Release date: July 28, 2009)
Shockwave Player は Flash Player とは違うものでバージョン確認については下のコラムに書いてあります.
今回のバージョンアップはMS09-035による開発者側からの対応です.バージョンアップできない場合はMS09-034による Internet Explorer 側での対策は必須です.
2009年07月30日、Vulnerability identifier: APSA09-04 “Security advisory for Adobe Flash Player”(Release date: July 28, 2009)では Note that this vulnerability is exclusive to Internet Explorer on Windows. Installations of Flash Player for Firefox or other web browsers on Windows are not vulnerable. We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows by July 30, 2009(米国時間を意味します)
Adobe Product Security Incident Response Team (PSIRT)ブログでは“Impact of Microsoft ATL vulnerability on Adobe Products” July 28, 2009 10:10 AM が出ています.
総合すると Flash Player のセキュリティアップデートは Internet Explorer 用プラグインだけになるようです.
2009年07月22日、“Security advisory for Adobe Reader, Acrobat and Flash Player” Release date: July 22, 2009 / Last Updated: July 23, 2009
Flash Player (最新版 9.0.159.0 and 10.0.22.87) に脆弱性があり、Adobe Reader 9.*(最新版 9.1.2) に含まれる Flash コンポーネントも同様というものです.
Flash Player については米国時間で7月30日、Adobe Reader については31日にアップデートが予定されています.
JVNVU#259425 Adobe Flash に脆弱性 公開日:2009/07/23 最終更新日:2009/07/27
JVNTA09-204A Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性 【緊急】 公開日:2009/07/24 最終更新日:2009/07/24
internet.watch Flash Playerに新たな脆弱性、修正版は7月30日までに公開 2009/07/23
zdnet Adobe Flashにゼロデイ攻撃、Adobe Readerにただちに処置を 2009年7月23日
zdnet アドビの「ゼロデイ脆弱性」は8ヶ月前から知られていたことが明らかに 2009年7月27日
- アドビ社ホームページ
- Adobe Flash Player ホーム
- Adobe Flash Playerのダウンロード
- Internet Explorer ではインターネット・ゾーンのセキュリティ設定をデフォルトにしておく必要があります.「インストール」指示により現用バージョンに上書きされます.Firefox ではファイルをダウンロードしてから、開いている Firefox 及び Opera を閉じてからインストールします.
- Adobe Product Security Incident Response Team (PSIRT)
- Flash Player も含めて英語版のセキュリティ・ブログです−−PSIRT ブログの RSS feedもあります.
- Adobe Flash Player のアップデートについて
- 「グローバル通知設定パネル」
- アップデート情報の受取り設定ができます.URL が www.macromedia.com ですがアドビ社に統合したマクロメディア社時代のアドレスですから問題ありません.
- その他、Flash Playerドキュメンテーション
- リリースノート、ヘルプ、デベロッパー用のドキュメンテーションなど
- Adobe Flash Player
- バージョン確認にはこのページがお勧め
- Adobe Flash Player のバージョンテスト
- 古いです、廃止ページの残存か?
- 参考・別のバージョンのAdobe Flash Playerをインストール
- 最新バージョンが使えないパソコンで利用できるようです
- Adobe Flash Player サポートセンター
- サポートデータベース
- サイトが更新されてサポート情報は検索ツールになっています(2009.03.02 確認)
- インストール手順の解説ページ
- Adobe Shockwave と Flash Player のテスト
- このページは旧 Macromedia 時代からあるバージョン確認のページです.Shockwave Player のインストール状況も同時に確認できます.
- Flash Player プラグインおよび ActiveX コントロールをアンインストールする方法
- 2008-10-15 文書番号(ID):230810 バージョン (Product Version):10, 9, 8, 7, 6
- 参考・フラッシュに必要なシステム条件
- 参考・Flash Playerのセキュリティとプライバシー
Securia でAdobe Flash Player Multiple Vulnerabilitiesの記事、Internet WatchでFlash Playerに危険度の高い脆弱性、対策済みの新バージョン公開があります.
私の環境ではバージョン10.0.22.87 をダウンロード、10-0-22-87-install_flash_player.exe のファイル名で保存して適用しました、1,835 KB ありました.
IE7 では上書きインストール完了後に切り替わったページでバージョンが確認できますが、そのページには『Flash Player がすでにインストールされている場合には、Flash Player ActiveX コントロールの自動インストール完了後に、コンピュータを再起動する場合があります。』とメッセージされていますのでご注意ください.
Firefox、Opera ではダウンロード完了後に開いているブラウザを全て閉じてからインストールせねばなりません.上書きインストールされます.完了後にはバージョン確認ページ−Adobe Flash Playerで確認しておく必要があります.Firefox、Opera を併用していて、一方しかバージョンアップされなかった場合は、もう一度インストールをしてやれば残された方もバージョンアップされたという経験があります.
Windows98、WindowsME に対応する Flash Player 9 に対する修正版は www.adobe.com/go/kb406791 からジャンプしていくようになっています.これらの Windows 旧バージョンでインターネットを利用するのは危険過ぎますので、ローカルでしか使わないならバージョンアップも必要無いことになりますが・・・
F-Secure Weblog でFebruary 25, 2009 Adobe Flash Vulnerabilityのページには C:\WINDOWS\system32\Macromed\Flash というフォルダー(ディレクトリ)にあるはずの、且つ、これだけあれば十分というファイル8点が画像で紹介されています.
2008年10月16日、Adobe Flash Player 9.0.124.0 及びそれ以前のバージョンに脆弱性が見つかりました、Secunia Advisories で Adobe Flash Player Multiple Security Issues(2008-10-16)が出ています.
Adobeサイトに2008年10月15日の公開情報があります.アドビ社では同日にバージョン 10.0.12.36 を公開していて、バージョンアップすることを勧めています.
Firefox、Opera 用には install_flash_player.exe 1,809KB がダウンロードでき、これはインターネット接続せずにインストールできます.
Internet Explorer の場合はインターネットに接続した状態でダウンロードページに入り、表示されるメッセージに従ってインストールします.
ダウンロードページにある同時インストールの「□ 無償Googleツールバー (オプション)」 についてはユーザーの任意です.
インプレス社の記事では10月15日に、「Flash Player 10」正式版公開、レンダリングエンジンを強化の記事が出ています.尚、バージョン 10 にバージョンアップできないパソコンの場合は、11月初めにはバージョン9 シリーズのアップデート版が出る事をアドビ社は予告しています(上記の公開情報参照)
以下、情報が古くなりますので Adobe社の記事は上にリンクした最新ページも確認してください.
バージョン 9.0.124.0 なら大丈夫だという報告です.当初は最新バージョンでも脆弱性があるというニュースで驚きましたが、アドビ社のセキュリティ・ブログは5月29日に最終記事を掲載しています−More information on recent Flash Player exploit
脆弱性レポートではこの脆弱性を突いた悪意のページが2万以上になると書かれていますが、それらはアップデートを怠っているユーザーを標的にしていることになります.JPCERT の記事には以下のように書かれています−−−
現在、本脆弱性を対象とした攻撃コードがインターネット上で公開されてお り、今後それらを使用した攻撃の拡大が予想されます。ユーザが細工された Flash コンテンツを開くことで、遠隔の第三者がユーザのコンピュータ上で任 意のコードを実行する可能性があります。
◇ トレンドマイクロは5月29日の記事、Adobe Flash Playerの脆弱性を悪用した「SWF_DLOADER」ファミリの脅威、で旧バージョンの脆弱性を狙った攻撃方法などについて解説しています.
◇ CNET News の記事、Adobe Flash exploit raises concern、27日掲載、30日更新、別記事で30日付け、Exploited bug doesn't exist in latest version of Flashがあります.
◇ 日経ITProに5月28日記事があり、「Flash Player最新版に不正コードを実行される脆弱性,Symantecが警告」、30日には解除の追記がされています.「Flash Player」の脆弱性を狙った攻撃が進行中、最新版に更新を、という記事が5月30日に出ています.
◇ JPCERT コーディネーションセンターで、「Adobe Flash Player の脆弱性に関する注意喚起」も28日公開、29日更新です.
◇ インプレス社の5月29日記事、「Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表」にはこの経過が記されていて、主要記事にリンクされています.
アドビ社のダウンロードページで処理できます.
Internet Explorer の場合はダウンロードをクリックすると自動的に更新されますが、セキュリティ設定でインターネット・ゾーン(地球マーク)のセキュリティレベルはデフォルトに設定しておく必要があります.
www.adobe.com を信頼済みサイトに登録してあっても、インターネット・ゾーンのセキュリティレベルをデフォルトよりも高くしてある、すなわちファイルのダウンロード無効の設定にしてあると自動更新はできません.この事は IE の最大の欠陥の一つと私は考えていますが IE 7 でもこの仕様は残っています.インターネットゾーンではダウンロード無効にしておき、それとは独立に信頼済みサイトからのダウンロードは可能となっていることがセキュリティの仕様としては当然と考えています.私の場合はインターネット・ゾーンのセキュリティレベルは「高」としてカスタマイズでダウンロードは有効にしてこの問題を逃げています.IE は新規閲覧のサイトで使う事はなく、Firefox で確認した後の閲覧テストで使うだけなのでこれでも良いと考えています.
Firefox、Opera、Netscape などでは 9.0.124.0 のインストーラをダウンロードして自分で更新することができます.但しブラウザは閉じた状態でインストールする必要があります.
今回のバージョンアップについては日経BPの記事、「Flash Player」に危険な脆弱性、「すぐにバージョンアップを」をご参照ください.私の場合は下記に書いたように 9.0.115.0 からのバージョンアップでした.アドビ社の関連ページの情報はまちまちで最新バージョン表示が未更新のままのページがあります.記事に日付が書かれていないという状況も変わりありませんでした.
8 April 2008 更新の英文記事があります−Understanding Flash Player 9 April 2008 Security Update compatibility- Adobe(旧マクロメディア)社のMacromedia Shockwave と Flash Playerのテストページに入ります.
- 2段組みでフラッシュ画像が表示されます.下がFlash Playerです.[Create][See][About]と並んでいる中の、[About] にマウスを乗せます.
上段の Shockwave Player は別物なので必要なければインストールせずにパスします. - くにゃくにゃと画像がうごいて、Version *.*.* と表示されますが、それがブラウザにインストールされているFlash Plyaerのバージョンです.
- 以上は以前の方法です、現在はバージョン確認ページを利用します
Windowsでソフトをインストールする場合に通常は管理者権限でパソコンを起動していることが必要になります.これまでも現在の起動状態でインストールしたことがあるなら問題無いでしょう.
Adobe のAdobe Flash Playerのダウンロードを開きます.
アドビのダウンロード・サイトでは、そのページを開いているブラウザによりダウンロードする(インストールされる)Flash Player が異なります.
■ Internet Explorer で開いた場合は、そのウィンドウ以外にも別なページが開かれていたら、それは全て閉じてください.
「今すぐインストール」をクリックすると瞬時に次のページに移動しますが、ダウンロードとインストールはその後で開始されます.
インストール完了してバージョン表示画面が開き確認できます.
注意・Internet Explorer でのダウンロード問題・上記の過程で http://www.adobe.com が信頼済みサイトに登録されているにも拘わらずダウンロード−インストールが進行しないのは、Internet Explorer のインターネット・ゾーンでダウンロード設定が無効になっている場合です.これに対処するには、次の手順になります.これは Internet Explorer の仕様と考えられます.(Internet Explorer6、WindowsXPでテスト)
- 「ツール」−「インターネットオプション」−「セキュリティ」を開きます
- 左端の地球マークをクリックしてから、「レベルのカスタマイズ」をクリックします
- 「カスタム設定のリセット」のメニューから「低」を選択して「リセット」ボタンを押します
- 「セキュリティレベルの変更・・」にOKします
- 重要・Flash Player のアップデートが完了したら、この手順で「カスタム設定のリセット」からセキュリティレベルを「高」に再設定して戻してください
■ Mozilla 系の Firefox、Netscape や Opera ではインストーラのダウンロードになります.
ファイルをクリックするとインストールが進行しますが、メッセージは何もでませんでした(これはパソコンの環境により変わるかも知れません).プラグインとしては共通ですから複数のブラウザを一度で処理できます.
インストールが終了した後で残る小窓に「詳細」のようなボタンがあります.これをクリックすると Firefox や Opera がどのように更新されたかのログが見えます.
Firefox、Opera はインストーラから処理してそのまま上書き処理されます.この二つのブラウザの Flash プラグインは同時に更新されます.再配布のサイトなどがあったとしても利用するべきではありません.
2002年12月にこの問題を整理した時に、Internet Explorerのプラグインは一度削除してから新しいものがインストールできる事を確認しています.
このようなプラグインで上書きインストールが可能なら、脆弱性問題は解決できません.悪意のサイトはユーザーが安全なバージョンを使っていても、ユーザーを騙して脆弱性のある古いバージョンをダウンロードする場所に案内し、置き換えてしまう事が出来るはずだからです.
Netscapeなどではインストーラで処理するので、外部からの操作は難しいはずですから、上書きインストールで処理できました.今回のアップデートでは全て削除後に処理しています.
2005年11月11日・WindowsXP SP2 で使っているノートパソコンでバージョンアップをテストしたところ、Internet Explorer6 SP1 では旧バージョンを削除せずに、上書きインストールが可能でした.従って、第三者のホームページからバージョンアップに誘導された時も、アドビのホームページに接続していることをアドレス表示で確認した上で処理すれば問題無いと思えます.adobe.com を信頼済みサイトに登録してあれば、例えば ad0be.com などと偽装されている場合も判断が容易になります.
現在のバージョンを確認した後は、次の「最新のバージョンをインストールする」に進んで、そのページから指示に従ってバージョンアップしてください.
- 何かの都合でバージョンアップができない時、バージョン確認で脆弱性問題が残るバージョンなら、それを削除しておくのが良いでしょう.その為に「アンインストーラ」がダウンロードできます.
- Flash Player プラグインおよび ActiveX コントロールをアンインストールする方法(該当ページが変化するので上のリンク集を参照してください)
- Adobe に「Flash Player サポート FAQ」という記事があります.ここにリンクされている「その他の Web Player」の中に、「アンインストーラ」があります.Windows用は uninstall_flash_player.exe というファイル、これをダウンロードします.
- ファイルのダウンロードにも色々と問題はありますが、ここではブラウザでダウンロードが可能な設定になっていることを前提にしています.ダウンロードしたファイルを置く場所はデスクトップでも良い.
- アンインストーラをクリックする前に全てのブラウザは閉じておいてください.クリックすれば完全に削除できます.
- 念の為にバージョン確認のページにアクセスして、パソコンには Flash Player が無いことを確認しました.
- 削除した後、フラッシュが使われたサイトからアドビ社以外のページに誘導されてダウンロードしてはいけません.悪意のバージョンを勝手にインストールされる危険があるかも知れないからです.
Internet Explorerで使われるプラグインの削除は通常ソフトのように「コントロールパネル」からでは出来ません.それが少し厄介ですが手順は以上の通りです.
フラッシュで表示された目次と通常のWWWページに置かれた目次の違いを確認してください.マウスを乗せた時に通常の目次はブラウザの最下部(ステータス・バー)に、行き先のアドレスが表示されます.どこへ行くかを見ながらクリックすれば良いのです.しかしフラッシュ目次ではそれはありません.さてここで問題です.このようなフラッシュ目次の行き先が悪意のアドレスでは無い事をユーザーは如何にして知ることができるでしょうか.
一般的に言えばWWWページで、此処をクリックしたら自分が何処に連れていかれるかを確認せずにクリックするのは、行き先も知らずに終点まで無停車の特急列車に飛び乗るようなものです.フラッシュの中にリンク先を仕込むページが多用される事で生まれる落とし穴は、読者を行き先表示無しの旅立ちに慣れさせてしまうことです.
インターネットでは条件反射で動き回ることが危険だと啓蒙する事が e-Japan の為には必要なのです.そこで、読者にフラッシュ・プレイヤーを使わせるページを作るなら、Internet Explorer と Flash(ActiveX)の設定についてユーザーに解説、明示する事が必要です.
「この電子レンジでは洗った猫は乾かさないでください」という「使用上のご注意」と同じものが、フラッシュを使うサイトの最初に見易く書かれていなければならないのです.現実にそんな事件があるというのですから、電子レンジの取扱説明書をバカバカしいと笑えるでしょうか.フラッシュを使うサイト構築では Windows と Internet Explorer の現状を踏まえて配慮が必要なのは電子レンジ以上ということです.「Internet Explorerをお使いの方はこのサイトを『信頼済みサイト』に登録してからご覧ください」という一行が最低限必要なのです.登録するかどうかは読者が選択することです.
以前の情報
Flash Player はバージョン 9.0.115.0 にバージョンアップされ、それはクロスサイト・スクリプティングの脆弱性対策などの理由とのことです.
私のバージョンアップの方法は 2007年07月19日 の記事に書いていますので略します.今回もこの情報が出ていそうなページを次々に見ていったのですが、アドビ社の日本語版サイトでセキュリティ問題に関する広報はかなり酷い状態のように思えます.
http://www.adobe.com/jp/support/security/
「最新のセキュリティ情報」のページでは英文の最新記事(12/18/2007)がリンクされていますが、
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
この「Adobe Flash Player のバージョンテスト」のページで「現在の Flash Player バージョン」は 9.0.45.0 のまま、すなわち7月の 9.0.48.0 必須という事すら反映されていないのです.(1月3日現在)
http://www.adobe.com/jp/products/flashplayer/
ダウンロードのトップページから Internet Explorer 用とそれ以外のダウンロードページに入れます.
インストール完了後にバージョン確認する、
http://www.adobe.com/jp/products/flash/about/
(このページでは最新バージョンが 9.0.47.0 となっています−1月3日現在)
手元のマシンでは、Internet Explorer も それ以外のブラウザも 9.0.115.0 に更新されたことが確認できました.今回のバージョンアップで 9.0.48.0 (私は 47 までしか気が付きませんでした)から一気に 115 になった理由は何か、ちょっと気になりました.
2007年07月12日の日経ITPro、勝村幸博さんの記事で、『「Flash Player」に危険なぜい弱性、最新版へのバージョンアップを』がありました.アドビの日本語サイトでは、セキュリティ情報に、APSB07-12 Flash Player 脆弱性を解決するアップデート、があります.英語版はSecurity bulletins and advisoriesからAPSB07-12 Flash Player update available to address security vulnerabilities
アドビ社のホームページでWindows版のAdobe Flash Player ホームページから入るダウンロードセンターは、Firefox や Opera では英語版ページに飛ばされます.日本語版ページは Internet Explorer を上書きバージョンアップ(インストール)するための機能に特化しています.ダウンロード(バージョンアップ)については下記の記事もご参照ください.
手元のWindowsマシンをバージョン 9.0.47.0 にバージョンアップしました.6月に書いたように私は 9.0.45.0 はパスしていましたので 9.0.28.0 からのバージョンアップになりました.
FirefoxとOperaはダウンロードページから当該ファイル install_flash_player_jp.exe をダウンロードして保存し、それを起動することで上書き更新されます.保存する時に私は 9-0-47-0-install_flash_player.exe のようにファイル名を付けています.フラッシュの脆弱性が報じられた時に自分の現用バージョンを確認するのにはこの保存フォルダーを確認すれば良い訳です.
現用バージョンの確認については、マクロメディア当時から使っているバージョン確認ページの他に、インストールされている Adobe Flash Player を確認するページがあり、この中に最新バージョンの情報も書かれています.
Flash Playerのセキュリティとプライバシー は一度ご覧になることをお勧めします.私自身はフラッシュを制作するツールを持っていませんので、中にどのような仕掛けを作れるかは検証していません.私の Internet Explorer は特定のサイト以外のフラッシュは遮断しています.
ちなみにPDFファイルを閲覧する無料ツール、Adobe Reader も最新バージョンは Adobe Reader 8.1 になっています.このダウンロードページも Flash Player 同様に Internet Explorer と Firefox、Opera では構成が違います.「同時にダウンロード(オプション)」にも注意しながら更新なさってください.PDFファイルの脆弱性にも常に注意を払う必要がありますが、マイクロソフトのセキュリティ情報には出て来ないものです.
2007年06月24日 Adobe Flash Player ホームページ(日本語)から入るダウンロードページでは、Version 9,0,45,0 となっていることに気が付きました.
Firefox と Opera の場合に開かれるダウンロードページは英語版でした.
どうも納得できず思い付いて Internet Explorer6 で開いてみたら日本語版ページが開きました.URLはどちらも http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash なのですが、download.cgi がブラウザを認識して振分けていると思えます.
同じアドレス表示でも異なるページを出すことができるのですから、CGIが受取る ? 以下の文字列が同じでも、CGIプログラムとしてはアクセスしてきたブラウザ、IPアドレス、あらかじめ設定しておいたクッキーなどを読み込む技法を駆使して適当なページに誘導するテクニックが、悪意のサイトでは巧みに使われていることも考えられる訳です.ブログとか掲示板など拡張子が cgi というサイトは多いのですが、それら以外にも php を拡張子とするページも増えています.htm, html という拡張子以外のページを初めて閲覧する時に警戒すべき問題点に遅まきながら一つ気が付きました.
それはさておき、英語版ダウンロードページとしては、Version: 9,0,45,0 Date Posted: 4/12/2007 と記載されていて、日本語版ではバージョン: 9,0,45,0 掲載日: 4/12/2007 と同じです.日本語版のAdobe Flash Player サポートセンターを開くと、「最新バージョン: Adobe Flash Player 9.0.16.0」の記載がありましたが、私の手元のバージョンは下に書いたように既に 9.0.28.0 なのです.今後のために、テクニカルノート一覧にもリンクしておきます.
日本語版ページでは、『[今すぐインストール] ボタンをクリックすると、Adobe Flash Playerが Microsoft Internet Explorer に自動的にダウンロード・インストールされます。』と記されていますから、これは Internet Explorer 専用ということになります.そして Firefox や Opera 用の日本語版が提供されていないと思われるので、このバージョンアップはセキュリティには関係ない何かがあるのでしょう.私は Internet Explorer ではフラッシュが表示されない(ActiveX 無効)設定にしていますので、セキュリティに無関係なバージョンアップなら放置しておきます.
それにしても、なにがどのようにバージョンアップされたのか、ブラウザで何処が違うのか、説明も無く不親切なアドビ社のWebページでした.
2006年11月15日 マイクロソフトの月例公開 2006年11月で Flash Player の脆弱性対策について修正プログラムが公開されています.私はこれで処理せずにマクロメディア(Adobe)のサイトからダウンロードして適用しました.このページはアクセスしたブラウザがFirefoxなら一般のソフトと同様に自分でダウンロードしてインストールするという手順になります.ユーザーが意志的にインストールするので旧バージョンを削除せずに上書きインストールが可能です.インストールすればFirefoxとOpera(パソコンにインストールされているなら)は同時に処理されて 9.0.28.0 が最新バージョンです.
以下は私が体験した一つの場合です(IE6、IE7でテストしています)
Internet Explorerのバージョンアップの為には IE でアクセスして、Adobe Flash Player ダウンロードセンター から「今すぐダウンロード」をクリックすれば処理されます.追加インストールとして「Yahoo! toolbar」がありますが、私はチェックマークを外してこれはインストールしません.
この場合、IE で自動時にダウンロードされインストールされるためにはセキュリティ設定を確認してください.それは「インターネット・ゾーン」で「セキュリティのレベル」が「既定のレベル」(中)に設定されていることです.Adobeサイトを「信頼済みサイト」に登録しファイルのダウンロードが有効になっていても自動的にダウンロード−インストールはできません.
この設定のポイントはインターネット・ゾーンでもアクティブXとファイルのダウンロードが有効になっている事のように考えられます(普段のアクセスでこの設定は危険です).ページに次のようなメッセージがでます〜『インストール作業を開始する前に、他のブラウザウィンドウをすべて閉じる必要があります。』
ちなみに私の場合、インターネット・ゾーンはセキュリティレベルを「高」としてあります.それがInternet Explorerを使う場合の安全な設定です.
Internet Explorer で Flash Player をバージョンアップする時は、必ずマクロメディア(Adobe)のサイトであることを確認して実行してください.ミラーサイトだと偽装しているような所から取り込むことは危険です.
2006年4月12日月例公開の修正プログラムを適用したWindowsXP SP2 の Internet Explorer6 でも下記の脆弱性は残っている事を確認しました.
2006年04月07日−「IEにアドレス・バーを偽装される問題,URLとは異なるFlashコンテンツを表示」(日経ITPro 勝村幸博さん、2006.04.05 - 06)、この記事の末尾に補足追加されている Secunia のページからテストをしてみました.
『Start the test: Test Now - Left Click On This Link 』をクリックしたのです.Firefox ではアドレスバーに http://secunia.com/19521_swf_result/ と表示され、何の問題もありません.WindowsXP SP2 の Internet Explorer6 SP2 でテストしてみました.クリックしても何の動きもありません.当然なのです、私のInternet Explorerはインターネット・ゾーンのセキュリティ・レベルは「高」にしてあるので、ここで使われるJavaScript(アクティブスクリプト)は動かないのです.この http://secunia.com/ を「信頼済みサイト」に登録してからもう一度読込み、クリックすると見事に引っ掛かりました.google のアドレスが表示されて、ページの中身は Firefox が表示した Secunia のページになるのです.
教訓・Internet Explorer のインターネットゾーン(地球マーク)のセキュリティ・レベルは「高」に設定しましょう.そして繰り返し見ようという安全・安心なホームページは「信頼済みサイト」にこまめに登録しましょう.
Secunia のテストページに書かれている JavaScript は、
function openWin(url) { window.open(url, 'window'); }
function StartTest(){
openWin('http://www.google.com/');
setTimeout("openWin('/19521_swf/?" + Math.random() + "');", 300);
setTimeout("openWin('/19521_swf_result/');", 2500);}
というものでした.
2006年03月17日−Flash Player 8.0.22.0 とそれ以前のバージョンに脆弱性があります.悪意のフラッシュファイル(拡張子 SWF)を読み込むと任意のプログラム(ウィルスなど)を実行させられてしまうというものです.
14日にアメリカのAdobe(Macromediaの合併相手)がAPSB06-03 Flash Player Update to Address Security Vulnerabilitiesを公開しました.日本語版は未掲載(17日現在)です.15日付けでSecuniaも脆弱性情報 Flash Player Unspecified Code Execution Vulnerabilities を公開しています.共に英文ですが意味することはいつもの Windows セキュリティ問題と変わりません、大きな違いは Windows Update では対策処理されない、ユーザー自身でやるしか無いということです.
Adobe(旧Macromedia)の日本サイトでも3月14日に新しいバージョン 8.0.24.0 が既に公開されています.下記に書いている方法でバージョンアップできました.Internet Explorer6 SP2 の場合は、ダウンロードホームページから「無償プレイヤーダウンロード」をクリックします.そのままページの表示に従い、現用の 8.0.22.0 は 8.0.24.0 に上書きされました.下記の2005年11月11日コラムで書いた通りです.すなわち、Adobeサイト以外でフラッシュプレイヤーのバージョンアップを行ってはいけない事を記憶に留めてください.すなわち一般的にソフトをダウンロードしてインストールする時と同じ注意が必要だということです.
注意・Internet Explorer で処理する時は、セキュリティレベルをファイルのダウンロード可能にしておく必要があります.すなわち、「ツール」−「インターネットオプション」−「セキュリティ」で左端の地球マーク(インターネットゾーン)をマークしてから「レベルのカスタマイズ」を開きます.リセットが「中」となっているのがデフォルトですから、そのまま「リセット」ボタンを押します.これでフラッシュのアップデートが出来ます.終わったら IE を閉じる前に同じ操作で、今度はセキュリティレベルを「高」としてリセットし直しておいてください.これは Internet Explorer を使う必須の設定です.いつも見るホームページは「信頼済みサイト」に登録して閲覧する習慣にしてください.
私が使うメインのブラウザは Firefox 1.5.01 です.これにも当然 Flash Plugin がインストールしてありますので、こちらもバージョンアップする必要があります.これも下に書いた通りインストーラのダウンロードになり、今回は install_flash_player_jp.exe 919KB でした.Firefox を閉じてからこのファイルをクリックすると特に何の表示も無く終わりました(サイトからダウンロードしているという時間を感じないブロードバンドの強みを感じます).試しに Opera 8.53 を開いて Flash のバージョン確認ページに入ってみると、8.0.24.0 にアップデートされていましたので、IE 以外のブラウザはこれで一気に処理される事も確認できました.
Flash Playerに危険なセキュリティ・ホール,多くのユーザーが影響を受ける(日経ITProの記事 2006.03.15)
2005年11月11日−Flash Playerの脆弱性、マイクロソフトも修正バージョン適用を呼び掛け(インプレス社記事)
2005年11月10日−Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性 マイクロソフト セキュリティ アドバイザリ (910550) 公開日: 2005年11月10日
2005年11月07日−Flash Playerに深刻な脆弱性、外部から任意のコードが実行される恐れ(インプレス社記事)
11月4日、米Macromediaの「Flash Player」のバージョン7と6に外部から任意のコードが実行できる脆弱性があると発表されました.危険度は5段階のうち上から2番目の"Highly critical".Flash Playerの「バージョン8」(8.0.22.0)もしくはバージョン7であっても「7.0.61.0」または「7.0.60.0」を適用することで脆弱性を回避できるとのことです.
Macromedia Flash Player不正メモリアクセス脆弱性(邦訳記事)
『eEye Digital Securityは、Macromedia Flash Player 6及び7に脆弱性があることを発見しました。攻撃者は本脆弱性を利用して、ログインユーザの権限にて、任意のコードを実行することが可能です。悪意のある SWFファイルにて、配列の境界条件違反を引き起こす事が可能であり、攻撃者が提供するデータへ実行をリダイレクトされる可能性があります。』
昔はマクロメディアのサイトを見ていてブックマークしていました.アドビ社に合併してからアドレス変更を確認して同様にブックマークしてきましたが、別な構成で最新ページが設置された事に気付いていない場合があります.アドビ社のホームページからそれらしいリンクを辿ってみることをお勧めします、このページのリンクはあくまで参考です.Flash と Flash Player とは別な製品です.このページは Flasy Player について書いています.
不具合の影響を受けるのは、Windows、UNIX、Linux、Macintosh のブラウザに対応する Flashプラグインですから、普通のユーザーが使うパソコンなら全て該当するのです.これはマイクロソフトの ActiveX の問題ではなく、フラッシュという動画を閲覧するツール(プラグイン)自身の問題なのですから、このニュースに接した時は私も青くなりました、Netscapeユーザーとして「Internet Explorerじゃないから大丈夫だよ」の安心感が通用しないと分かったのです.
これ以後、Internet Explorer以外のブラウザを使っていても、そのプラグインに発生する脆弱性問題には注意しています.これは Windows Update では処理できません、その事がインターネットのユーザーにとって重要なのです.
Internet Explorerをお使いならフラッシュ・プラグインは最初から使えるようにインストールされているはずです.でもそのバージョンを確認なさった事はありますか? オペレーティングシステムを再インストールした時など、WindowsやInternet Explorerのセキュリティ修正プログラムを処置して安全性を高めてからインターネットに接続するのと同様に、プラグインのバージョン確認も必要なのです.
Flashを使った悪意の仕掛けとしては、信頼できそうな偽装ページを作り、その中に魅力的なフラッシュ画像を置き読者のローカルファイルを読み出せるような exploit(悪意のプログラム)をフラッシュの内部プログラムとして仕掛けておけば、ユーザーの個人情報(パスワードやクッキー情報、アドレス帳など)まで取り出せるというものがあるようです.
Internet Explorer と ActiveX の問題は次の機会に記事にする予定です.IE ではデフォルトで「ActiveX は無効」に設定する、フラッシュを見るサイトは「信頼済みサイト」として登録する、この二点が Internet Explorerユーザーの行うべき基本設定です.そして、バージョンはセキュリティ脆弱性が解決された最新版にしておくことが大切ですから、この記事はその為に公開しました.