Adobe、「Flash Player 22」「AIR 22」を正式公開。「Flash」ではゼロデイ脆弱性を修正

「Adobe Flash Player」v22.0.0.192

　米Adobe Systems Incorporatedは16日（現地時間）、「Adobe Flash Player 22」および「Adobe AIR 22」（コードネーム：Townsend）を正式公開した。現在、同社のWebサイトからダウンロード可能。すでにインストールされている場合は、自動更新機能により自動で最新版へとアップデートされる。

　今回のアップデートにおける変更は「Adobe AIR」の強化がメイン。まず、ランタイムやSDKに組み込まれていた「Adobe Flash Player」が分離された。URLから読み込まれたコンテンツにSWFファイルが含まれている場合は、システムにインストールされているNPAPI版の「Adobe Flash Player」が呼び出されるようになる。もしインストールされていない場合は、ダウンロードの案内画面が表示されるという。

　また、Windows デスクトップ環境の「Adobe AIR」でHiDPIがサポートされた。そのほかにもモバイル向けの変更として、ハードウェア支援によるアンチエイリアスへの対応や、Androidの次期バージョン“Android N”のサポートなどが盛り込まれている。

　なお、「Adobe Flash Player」では36件の脆弱性が修正されているので注意。同社が公開したセキュリティ情報（APSB16-18）によると、脆弱性の深刻度は同社基準で4段階中最高の“Critical”。悪用された場合、攻撃者にシステムを乗っ取られる恐れがあるという。

　なかでも“CVE-2016-4171”は限定的ながら標的型攻撃に使われていることが確認されており、注意が必要。同社はLinux版を除くすべてのプラットフォームで、更新プログラムの適用優先度を“1（72時間程度以内を目安とした可能な限り迅速なアップデートが必要）”と定め、以下の最新版への更新を強く推奨している。

• 「Flash Player」デスクトップランタイム：v22.0.0.192
• 「Flash Player」延長サポートリリース：v18.0.0.360
• 「Flash Player」Linux版：v11.2.202.626

　なお、延長サポートリリースは何らかの理由で「Adobe Flash Player 22」を導入することが困難な環境を対象としたバージョンで、「Adobe Flash Player」のヘルプページからダウンロード可能。

　また、Windows 8.1の「Internet Explorer 11」用、およびWindows 10の「Internet Explorer 11」「Microsoft Edge」用の「Flash Player」の最新版は“Windows Update”を通じて提供される。また、「Google Chrome」用の「Flash Player」は同日付けでリリースされた最新版に含まれている。バージョンはいずれもv22.0.0.192。

　一方、「Adobe AIR」でも1件の脆弱性が修正されている。同社が公開したセキュリティ情報（APSB16-23）によると、インストーラーがパスを検索する処理に不具合があり、攻撃者にシステムを乗っ取られる恐れがあるという。本脆弱性はWindows版にのみ影響し、更新プログラムの適用優先度は3段階中最低の“3”。v22.0.0.153へのアップデートが推奨されている。