米国コンピュータ緊急事態対策チーム (US-CERT) は、国家サイバー警報システムを使用して、Adobe Flash および AIR の欠陥に関するサイバーセキュリティ警報 (SA10-223A) を発行しました。

影響を受けるシステム
• Adob​​e Flash Player
• Adob​​e AIR

US-CERT の警告では、「Flash をサポートする他の A​​dob​​e 製品も脆弱である可能性がある」とも述べられています。

警告によると、「Adobe Flash PlayerとAIRに脆弱性が存在します。攻撃者はこれらの脆弱性を悪用してコンピュータを制御する可能性があります。」

解決

– Flash PlayerとAdobe AIRのアップデート Adob​​eセキュリティ速報APSB10-16では、Adobe Flash PlayerダウンロードセンターおよびAdobe AIRダウンロードセンターを利用したアップデートを推奨しています。Flash PlayerとAIRはどちらも自動アップデートをサポートしています。これらの手順に従うと、FlashウェブブラウザプラグインとActiveXコントロール、そしてAIRが更新されます。ただし、Adobe Reader、Acrobat、その他の製品のFlashサポートは更新されません。

これらおよびその他の Flash の脆弱性の影響を減らすには、次の軽減手法を検討してください。

–ウェブブラウザでFlashを無効にしてください。Flash をアンインストールするか、Flashの実行を許可するサイトを制限してください。可能な限り、信頼できるドメインでのみ信頼できるFlashコンテンツを実行してください。詳しくは、ウェブブラウザのセキュリティ保護をご覧ください。Flashを無効にすると、特定のウェブサイトでの閲覧エクスペリエンスに影響が出る可能性があることに注意してください。

US-CERTのアラートでは、「AdobeセキュリティアドバイザリAPSB10-16は、Flash PlayerおよびAIRの脆弱性について説明しています。Flashコンテンツは、ウェブページ、PDF文書、メールの添付ファイル、または他のファイルに埋め込まれている可能性があります。悪意のあるFlashコンテンツを開くように仕向けることで、攻撃者はコンピュータを制御したり、クラッシュさせたりする可能性があります。」と説明されています。

参考文献:

• Adob​​e セキュリティ速報 APSB10-16 – http://www.adobe.com/support/security/bulletins/apsb10-16.html
• Adob​​e Flash Player ダウンロードセンター – http://get.adobe.com/flashplayer/
• Adob​​e AIR ダウンロードセンター – http://get.adobe.com/air/
• Web ブラウザのセキュリティ保護 – http://www.us-cert.gov/reading_room/securing_browser/

出典: US-CERT 国家サイバー警報システム、サイバーセキュリティ警報 SA10-223A

MacDailyNews の見解: Flash フリーであることがセールスポイントです。

シマンテックは最近、Flashが2009年のセキュリティ記録で最悪のものの一つであると指摘しました。また、Macのクラッシュの最大の原因がFlashであることも私たち自身で直接認識しています。私たちはAdobeと協力してこれらの問題の解決に取り組んできましたが、問題は何年も解決していません。Flashを追加することで、iPhone、iPod、iPadの信頼性とセキュリティを低下させたくはありません。

さらに、Flashはモバイルデバイスでのパフォーマンスが芳しくありません。ここ数年、Adobeに対し、Flashがモバイルデバイス、それもどんなモバイルデバイスでも、良好に動作する様子を見せてほしいと繰り返し求めてきましたが、未だにその姿を見せていません。Adobeは、スマートフォン向けFlashの出荷開始時期を2009年初頭、その後2009年後半、2010年前半と公式発表していましたが、今回は2010年後半としています。いずれ出荷されるだろうとは思っていますが、期待しすぎなくてよかったと思っています。果たしてどうなるか、誰にも分かりません。

– Apple CEO スティーブ・ジョブズ、「Flash についての考察」、2010 年 4 月

[情報を教えてくれたMacDailyNews読者の「Carl H.」に感謝します。]