Adobeは2018年2月2日、Adobe Flash PlayerにWebを閲覧することでDoS攻撃や任意のコード(命令)を実行される可能性がある脆弱性が存在することを発表しました。同社のAdobe Security Advisoryサイトでは、セキュリティ脆弱性の識別子「CVE-2018-4878」、重要度は最も深刻な「Critical(致命的)」に当たるとして注意を喚起しています。
このセキュリティ脆弱性を突いた攻撃を受けると、悪意のあるコードが実行される可能性があるとし、「Windowsユーザーに対する限定的で標的化された攻撃に使用されているという報告を認識している」とのこと。
Adobeでは、この脆弱性に対する修正プログラムを2018年2月5日に公開する予定ですが、それまでの間はこの脆弱性にさらされた状態が続くことになります。これに対して、IPA(情報処理推進機構)ではAdobe Flash Playerをアンインストールまたは無効化するといった緩和策を紹介しています。
対象製品
- Adobe Flash Player Desktop Runtime 28.0.0.137 およびそれ以前のバージョン (Windows、Macintosh、Linux)
- Adobe Flash Player for Google Chrome 28.0.0.137 およびそれ以前のバージョン (Windows、Macintosh、Linux、Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 28.0.0.137 およびそれ以前のバージョン (Windows 10 および 8.1)
修正プログラムまでの対応策
インストール有無の確認
以下のURLにアクセスして、Adobe Flash Player がインストールされているかを確認することができます。
▶︎https://get.adobe.com/jp/flashplayer/about/
※なお、ひとつのOSで複数のブラウザをインストールしていて、それぞれブラウザでAdobe Flash Playerを利用している場合には、各ブラウザ毎にAdobe Flash Playerのインストールを確認する必要があります。
緩和策
Adobe Flash Player をアンインストールまたは無効化する。
Windows 8.1/10用Internet Explorer 11、Windows 10 用 Microsoft Edge、および Google Chromeは、Adobe Flash Playerの機構を統合しておりAdobe Flash Player 単独でのアンインストールはできません。「2.Adobe Flash Playerの無効化の方法」を実施して下さい。
- Adobe Flash Playerのアンインストール方法
以下のURLにアクセスし、Adobe Flash Playerをアンインストールします。 - Adobe Flash Playerの無効化の方法
以下の手順を参考に、Adobe Flash Playerを無効化して下さい。
・Internet Explorer
(1)ブラウザを起動する
(2)メニューより「ツール」-「インターネットオプション」を選択する
(3)「プログラムタブ」-「アドオンの管理」を選択する
(4)「表示」プルダウンから「全てのアドオン」を選択する
(5)右のメニューから「Shockwave Flash Object」を 右クリックし、「無効」を選択する・Microsoft Edge
(1)ブラウザを起動する
(2)メニューより「・・・」-「設定」を選択する
(3)「詳細設定を表示」を選択する
(4)「Adobe Flash Player を使う」をオフにする・Google Chrome
(1)ブラウザを起動する
(2)アドレスバーに chrome://settings/content を入力する
(3)Flash を選択する
(4)「最初に確認する(推奨)」をオフにする
Source:Adobe Security Advisory
Source:IPA(情報処理推進機構)
