Adobe Flash(←これを見ると、MacromediaがAdobeに買収されたのはもう10年前なのかー)に、最近、立て続けに脆弱性が見つかっている。元々、アドオンで基本的にFlashはブロックしててホワイトリスト外ではclick-to-playの環境にしていたのだが、少し前にFirefoxをリフレッシュ(リセット)したときにそのアドオンも切り捨ててしまっていた。
「立て続け」の中でも最新のの最初のは、7月9日のこれだった。
http://internet.watch.impress.co.jp/docs/news/20150709_710881.html
米Adobe Systemsは8日、Flash Playerの深刻な脆弱性を修正するセキュリティアップデート(パッチ)を公開した。ユーザーに対して、最新バージョンへのアップデートを推奨している。
細工を施したコンテンツをユーザーに開かせることで、Flash Playerを不正終了させたり、任意のコードを実行させたりする可能性のある脆弱性を修正している。パッチ公開前から悪用方法についての情報が出回っていた脆弱性も含まれており、JPCERT/CCによれば、すでにその脆弱性を悪用した攻撃活動が確認されているという。
……修正した脆弱性の危険度は、4段階中で最も高い“クリティカル”とレーティングされている。また、アップデート適用の優先度は、Flash PlayerのWindows版・Mac版において、3段階中で最も高い“優先度1”。これは、システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されているものだ。
このときに、Twitterで私が見ていた範囲でも「今やってる作業を中断して即座にFlashのアップデートを」という呼びかけがいくつもあったし、私もすぐにそれについてブクマ&ツイートしたのだが、この脆弱性に対応するようアップデートをすると(「パッチを当て」ると)、WindowsやMacのパソコンで各種ブラウザを使ってネットを見るときのFlash Playerのバージョンは「18.0.0.203」となった。
で、「ほにゃららほにゃらら203」なら安心だ、となってまだほんの数日で、また次の脆弱性が出たわけだ。
私はエンジニアでは全然なく、ただの一般ユーザーだが、いろいろな分野のニュースを見たりしてきてこういう「脆弱性を狙った攻撃」が決して「私(だけ)は大丈夫」なわけではないということは実感されているので(でも「ネットはメールとショッピング程度しか使わないし」といった意識の人はそうでもないかもしれない)、「脆弱性」だとか「パッチ」だとかいったニュースにはなるべく気を配るようにしている。「クリティカル(すぐにパッチを当てるべき」」などと言われたらすぐにそうする程度に気をつけている。
なので、Flash Playerを「ほにゃららほにゃらら203」にして安心してたところで、また別の脆弱性がわかった上にまだ対応されていないという14日のニュースで、うーんとなってしまった。
Flash Playerに致命的な脆弱性、修正プログラムなくIPAは無効化を推奨
2015/07/14
http://itpro.nikkeibp.co.jp/atcl/news/15/071302350
で、13日、14日と大ニュースが多かった上に、東京は異様な暑さで私は体調がむちゃくちゃ悪く、ここでニュースソースをTwitterに絞っていたのが問題だったかもしれないが(Twitterでは少し前のニュースが延々と「最新のニュース」のようにまわるので、この「修正プログラムなく」が最新情報であるかのような状態は、修正プログラムが出た後でもしばらく続く。それは英語圏でも何語圏でも同じだろう)、いつこの脆弱性が対応されたのか(「パッチが出た」のか)、私はわからずにいた。気づいたら、プレイヤーのバージョンが「ほにゃららほにゃらら203」から「209」になっていた。私は何もしていなかったと思うので、自動アップデートされたのだろう。
今回、元Yahooで現FBの人が何か言ってたというのもニュースになっていたが、何よりFirefoxが問答無用でFlash Playerをブロックしてしまったので大きなニュースになった。
Mozilla、ゼロデイ脆弱性のある現行版「Adobe Flash Player」をブロックリストに追加
ユーザーの許可があるまでプラグインを読み込まない“Click-to-Play”の対象に
(2015/7/14 16:22)
http://www.forest.impress.co.jp/docs/news/20150714_711609.html
Flash Playerに致命的な脆弱性、修正プログラムなくIPAは無効化を推奨
2015/07/14
http://itpro.nikkeibp.co.jp/atcl/news/15/071302350/
私の環境でもブロックされた(ブロックされたときと、その数時間後の2度、AdobeのサイトでFlashのバージョン確認を行なっているが、そのときは「ほにゃららほにゃらら203」だった)。
ネット上では、「ぶざまwwwww」、「だから言ったじゃない」的な、エンジニアやハッカー界隈の発言が目立った。「今どき、Flashなんて広告くらいでしか使ってないんだから、なくても困らないでしょ(ドヤ」みたいなのも、日本語でも英語でもあった。
だが、私は困った。Flashが使えない状態では、いつも通りのことはできなかった。それどころか、ギリシャの緊縮財政受け入れで進展があり、イラン核危機を終わらせる合意が成立したというタイミングで、あっちもこっちも「コンパクトな解説映像がウェブで見られる」とか「生中継の映像をウェブでストリームしている」という日に、Flashなしではほとんどどれも見られず、情報が最も望ましい形では入ってこなかった。
そのことを記録しておく。
記録しておかないと、エンジニア系の「今どき、Flashなんかなくたって誰も困らないでしょ」というのだけが《正しい歴史》になっていくと思うので(短期間で25刷に達した本について、悪意などカケラもなく「そんなベストセラーはなかった」と言われるような状態になる)、困った人はネット上にそのことを書いておいたほうがいいと思う。
Adobe Flashがfirefoxにブロックされて、BBC Newsのクリップが見れない件。。。(;_;)
See: http://t.co/zAMHjo4Weg
9日のときは「ブラウザがブロックする」ことはなかったはず。。。 pic.twitter.com/6YZPadhPRk
— nofrills (@nofrills) July 14, 2015BBC Newsのクリップは、一部だけですが、YouTubeのBBCのチャンネルにもアップされているので、そちらでなら見られるはず(YTはAdobe FlashではなくHTML5なので)。 https://t.co/Iie21NJtjk
— nofrills (@nofrills) July 14, 2015「Flashなんかなくても困らないよ(ドヤ」って言ってる人たちは、普通のニュースサイト(BBCとか)見てないのかな。私は困っている。BBCもガーディアンもだめなので。
— nofrills (@nofrills) July 14, 2015アルジャジーラよ、おまえもか。 Adobe FlashがブロックされているのでAJEのサイトからは見られません。http://t.co/NGLaJzFTgu
YouTubeではOKのはず https://t.co/PaOnRjTCq8 pic.twitter.com/Oz4wKelaih
— nofrills (@nofrills) July 14, 2015プレスTVよ、お前もか。Ew, they too use Adobe Flash!!! RT HassanRouhani: Watch Live Now: http://t.co/yk0Yqf6R6m pic.twitter.com/tsuTi775k4
— nofrills (@nofrills) July 14, 2015結局、アルジャジーラはYouTubeでのストリームがあったのでそれを見ていた。Press TVのは、もうぐったりしきっていたのでチェックする体力もなかった。
Adobe patches critical security flaws in Flash discovered in Hacking Team leak http://t.co/BrGdWSfoqy pic.twitter.com/zgkYI1W3g5
— The Next Web (@TheNextWeb) July 15, 2015特に何もしていないと思うのだけど、いつの間にかAdobe Flash Playerのヴァージョンが「なんちゃらかんちゃら203」から「なんちゃらかんちゃら209」になっていて…… pic.twitter.com/QO66XbqDPx
— nofrills (@nofrills) July 15, 2015……Firefoxでの「デフォルトでブロック」も解除されていて、BBC Newsのサイトにある映像レポートも無事再生させることができました。早く対応されてよかった。 pic.twitter.com/BimcQD6j2O
— nofrills (@nofrills) July 15, 2015Flash playerのバージョン確認は http://t.co/U9YeCl2ZTW でできます。現時点で「なんちゃらかんちゃら209」より小さい数字だっら、 https://t.co/9m4ZYTGJjk でアップデートを。 pic.twitter.com/6gGzdOKlAF
— nofrills (@nofrills) July 15, 2015※この記事は
2015年07月16日
にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。
- Twitterを「鍵アカ」にすると、「《検索したい語句》from:アカウント名」..
- "整理" されてしまった「翻訳・通訳のトビラ」の中身を、Web Archiveで..
- 美しかった。ひたすらに。
- はてなブックマークでわけのわからないスターがつけられている場合、相手はスパマーか..
- 虚構新聞さんの "バンクシー?の「『バンクシー?のネズミの絵』見物客の絵」に見物..
- 当ブログがはてなブックマークでどうブクマされているかを追跡しなくなった理由(正確..
- 東京では、まだ桜が咲いている。
- あれから1年(骨折記)
- Google+終了の件: 問題は「サービス終了」だけではなく「不都合な事実の隠蔽..
- 当ブログに入れている広告を少し整理しました。
Japanese Yen Exchange Rate
