アドビ、Flash Playerの脆弱性を修正するセキュリティアップデートを公開：Firefoxでは一時的に無効化の措置も

　米アドビ システムズは米国時間の2015年7月14日（日本時間7月15日）、Adobe Flash Playerに存在する複数のゼロデイ脆弱性（CVE-2015-5122/CVE-2015-5123）を修正するセキュリティアップデート（APSB15-18）を公開した。同社が先に予告していたもので、7月8日にリリースされたセキュリティアップデート（APSB15-16）同様、早急な適用が推奨される。

　今回リリースされたセキュリティアップデートは、

• Adobe Flash Player 18.0.0.209（Windows版ならびにMacintosh版）
• 延長サポート版Adobe Flash Player 13.0.0.305（Windows版ならびにMacintosh版）

で、通常版はアドビのダウンロードセンターから入手可能だ。Linux版については「7月12日の週のうちにリリースする予定」となっている。

　また、Webブラウザに組み込まれているプラグインに関しては、

• Flash Player for Google Chrome 18.0.0.209（Windows、MacintoshならびにLinux版）
• Flash Player for Internet Explorer 10 and Internet Explorer 11 18.0.0.209（Windows 8.0/8.1）

がリリースされた。これらはWebブラウザ更新時に自動的にアップデートされる。

　なお、同じWebブラウザでもFirefoxの場合、Mozilla Foundationは安全性を考慮し、セキュリティアップデートが提供されるまでの間「Flash Player Plugin」をデフォルトで無効化する措置を取っている（7月16日8時時点で、この措置はまだ解除されていない模様）。

　もし何らかの理由でアップデートを適用できない場合は、Flash Playerを一時的に無効化するか、アンインストールするといった回避策を取ることが望ましい。

　なおソフトバンク・テクノロジーが公表した脆弱性調査レポートによると、マイクロソフトのEMET（Enhanced Mitigation Experience Toolkit）のインストールも緩和策となり得るという。ただし、EMET version 5.2で検証を行ったところ、Internet Explorer 11およびChrome 43.0.2357.132mでは攻撃コードの実行が制限されたが、Firefox 39.0では攻撃の影響を無効化できなかった。これを考慮してもFirefox環境では、修正版を導入するか、それができない場合はFlashプラグインを無効化することが望ましいと言えるだろう。