ニュース

Adobe、「Flash Player」のゼロデイ脆弱性からIE/Officeを守る新しいセキュリティ機能

ユーザーがコンテンツをクリックするまで再生しない“Click-to-Play”を導入

公式ブログ“Security @ Adobe”

 米Adobe Systemsは27日(現地時間)、「Adobe Flash Player」に導入されたいくつかのセキュリティ機能について明らかにした。同社は2020年末で「Adobe Flash Player」の提供と更新を終了する方針だが、それまでは引き続きセキュリティ向上に取り組むとしている。

 最近報告された「Adobe Flash Player」のゼロデイ脆弱性は、いずれも「Internet Explorer」または「Microsoft Office」を対象としたものであった。攻撃の亜種が他の環境をターゲットにする可能性は考えられるが、まずは狙われやすいこれら2つの環境への対策が重要となる。

 「Internet Explorer」に対しては、昨年11月にリリースされた「Adobe Flash Player 27」から、管理者が設定ファイル“mms.cfg”を編集することで“Click-to-Play”機能を有効化できるようになっている。“Click-to-Play”(“Click-to-Run”、“Click-to-Activate”とも呼ばれる)はユーザーがコンテンツをクリックするまで再生しないようにするブロック機能で、「Microsoft Edge」などのモダンブラウザーには標準で組み込まれている

 一方「Microsoft Office」に対しては、「Adobe Flash Player 30」で“Click-to-Play”が有効化されている。これにより任意のコードが実行可能になってしまうタイプの脆弱性が新たに発見されても、“ドキュメントを開いただけで”マルウェアが実行されてしまうことはなくなる。

 Microsoftは「Office 365」で「Adobe Flash Player」「Adobe Shockwave Player」「Silverlight」のブロックを開始しているが、旧バージョンの「Microsoft Office」は対象外だ。「Adobe Flash Player 30」の“Click-to-Play”はそうした古い「Microsoft Office」ユーザーの保護に役立つだろう。

 そのほかにも、「Adobe Flash Player」では最近発見されたCPU脆弱性“Spectre”“Meltdown”に対する緩和策として、“SharedByteArray”機能の無効化などを実施している。