アドビ、Flash Playerの脆弱性を修正するセキュリティアップデートを公開：Firefoxでは一時的に無効化の措置も

米アドビ システムズは予告通り、Adobe Flash Playerに存在する複数のゼロデイ脆弱性を修正するセキュリティアップデート（APSB15-18）を公開した。早急な適用が推奨される。

[高橋睦美，＠IT]

　米アドビ システムズは米国時間の2015年7月14日（日本時間7月15日）、Adobe Flash Playerに存在する複数のゼロデイ脆弱性（CVE-2015-5122/CVE-2015-5123）を修正するセキュリティアップデート（APSB15-18）を公開した。同社が先に予告していたもので、7月8日にリリースされたセキュリティアップデート（APSB15-16）同様、早急な適用が推奨される。

　今回リリースされたセキュリティアップデートは、

• Adobe Flash Player 18.0.0.209（Windows版ならびにMacintosh版）
• 延長サポート版Adobe Flash Player 13.0.0.305（Windows版ならびにMacintosh版）

で、通常版はアドビのダウンロードセンターから入手可能だ。Linux版については「7月12日の週のうちにリリースする予定」となっている。

　また、Webブラウザに組み込まれているプラグインに関しては、

• Flash Player for Google Chrome 18.0.0.209（Windows、MacintoshならびにLinux版）
• Flash Player for Internet Explorer 10 and Internet Explorer 11 18.0.0.209（Windows 8.0/8.1）

がリリースされた。これらはWebブラウザ更新時に自動的にアップデートされる。

　なお、同じWebブラウザでもFirefoxの場合、Mozilla Foundationは安全性を考慮し、セキュリティアップデートが提供されるまでの間「Flash Player Plugin」をデフォルトで無効化する措置を取っている（7月16日8時時点で、この措置はまだ解除されていない模様）。

　もし何らかの理由でアップデートを適用できない場合は、Flash Playerを一時的に無効化するか、アンインストールするといった回避策を取ることが望ましい。

　なおソフトバンク・テクノロジーが公表した脆弱性調査レポートによると、マイクロソフトのEMET（Enhanced Mitigation Experience Toolkit）のインストールも緩和策となり得るという。ただし、EMET version 5.2で検証を行ったところ、Internet Explorer 11およびChrome 43.0.2357.132mでは攻撃コードの実行が制限されたが、Firefox 39.0では攻撃の影響を無効化できなかった。これを考慮してもFirefox環境では、修正版を導入するか、それができない場合はFlashプラグインを無効化することが望ましいと言えるだろう。