http://www.adobe.com/software/flash/about/
そのバージョンが「21.0....」ではなく、「20.0....」の場合は、バージョンが古いので、アップデートをする必要があります。下記URLにアクセスし、「今すぐインストール」とかいうボタンをクリック(その左側にマカフィーなど「抱き合わせでDLさせられそうになってるが、自分にとっては不要なソフト」が表示されてたら、チェックボックスのチェックを外すことを忘れずに)。
https://get.adobe.com/jp/flashplayer/
この件、10日には報告は出ていたようなのですが、10日(昨日)は個人的にWindows Updateのトラブルに対処するのが精一杯で(怒)、10日はFlashは使わないようにして、Flashの更新は先延ばししてました。
アメリカ時間だと思うので、正確には時差とかめんどくさいんですが、Ars Technicaにはこんなふうに出てます。
Adobe has issued an emergency update for its Flash media player that patches almost two dozen critical vulnerabilities, including one that's being maliciously exploited in the wild.
"These updates address critical vulnerabilities that could potentially allow an attacker to take control of the affected system," Adobe officials wrote in an advisory published Thursday. "Adobe is aware of a report that an exploit for CVE-2016-1010 is being used in limited, targeted attacks." The notice advises Flash users to install the update as soon as possible.
http://arstechnica.com/security/2016/03/adobe-issues-emergency-patch-for-actively-exploited-code-execution-bug/
つまり、20件以上の深刻な脆弱性を修正するパッチが木曜日(10日)に出されているが、ここで修正された脆弱性を突いた攻撃が(限定的ではあるが)行なわれているという報告がアドビに既に入っている、と。
The Registerではこういう説明。
The March update includes a number of fixes for vulnerabilities that could, if exploited, allow an attacker to remotely execute code on a targeted system simply by loading a malformed Flash file. In other words, visiting a booby-trapped webpage, or viewing a Flash ad, could inject malware into your computer.
http://www.theregister.co.uk/2016/03/10/adobe_flash_march_updates/
で、かくかくしかじかの脆弱性が修正されましたとアドビが告知したので、これまでその脆弱性を突いていなかった攻撃者が、まだアップデートしていない環境を狙ってくる可能性も高まります。
「アップデートしていない方は、すぐにアップデートを」という呼びかけがなされているのは、そういう理由です。
で、私が更新した直後のこと(数時間前)なのですが、更新がちゃんとできているかを確認するために、いつもの「Flash Player ヘルプ / Flash Player の状況確認」のページにアクセスしたところ、バージョンがおかしなことになってました。
上記ページにアクセスするとこう表示されたのですが(画像クリックで原寸):
拡大すると……
つまり、私のPCには「21.0.0.182」が入っているのに、アドビが提供している最新版は「20.0.0.306」だというんですね。
(?_?)
実は、Flash Playerとは別のソフトウエアで「自動更新」を設定してあるのですが、それが反応してなかった(今回出た修正版を入れていない状態、つまり1つ前のバージョンなのに、「最新版」という扱いになってた)ので、手動で更新したらこうなってて、なんかもう「おいおい」と。
Adobeが修正版を出したあとも前のバージョンを「最新版」と扱ってることで、「自動更新」系のソフトが反応していない場合もあるのではないかと。(※数時間後にこの点は解消。本稿末尾参照)
The Registerの記事にはこんな「定型文」があるんですけどね:
Users who have activated the "Allow Adobe to install updates" option on Flash Player for Windows and OS X should receive the update automatically. Google's Chrome browser installs Flash updates automatically, too.
http://www.theregister.co.uk/2016/03/10/adobe_flash_march_updates/
私もここに書かれている設定をしてあるんですが、手動で更新する必要がありました。。。
Flashは「終わった技術」扱いはされているけれど、まだまだ「ないと困る」もので、アンインストールは非現実的です。前も書いたのですが、以前、Flashの脆弱性が問題になって、Firefox(ブラウザ)が「初期設定(デフォ)で、FlashはOffにしておく」という思い切ったことをやったときに、ネットの日本語圏では「いまどき、Flashなんか広告とゲームくらいしか使われてないんだから、なくたって別に困らないでしょ」という(主にTech系の人たちの)発言が非常に目立っていたのですが、私は困ったんですね。広告もゲームもどうでもいいけど、BBCやガーディアンなどのニュースサイトの(YouTubeのクリップ埋め込みを利用していない、自前で提供している)映像ニュースが、軒並みFlashなんですね。あれからかなり時間は経過したけど、今もそれらニュースはFlashで提供されている。また、それら大手報道機関とは別のニュースサイトなどでも、Flashを使っているところはあります。
そして、私が見てる分野は、Flash云々があろうとなかろうと、「サイバー戦」が激しい。TwitterでURLをクリックしてみたらそこに悪意のあるJavaScriptが(とマルウェア対策ソフトの警告が出た)……ということも実際にあったので。。。
なお、現時点(11日17時過ぎ)には、バージョン確認のページも、まともな表示になってます。
See also:
「Flash Player 21」公開、23件の脆弱性を修正、すでに標的型攻撃での悪用確認 https://t.co/4LLxulx0Ex
— INTERNET Watch (@internet_watch) March 11, 2016
※この記事は
2016年03月11日
にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。
【雑多にの最新記事】
- Twitterを「鍵アカ」にすると、「《検索したい語句》from:アカウント名」..
- "整理" されてしまった「翻訳・通訳のトビラ」の中身を、Web Archiveで..
- 美しかった。ひたすらに。
- はてなブックマークでわけのわからないスターがつけられている場合、相手はスパマーか..
- 虚構新聞さんの "バンクシー?の「『バンクシー?のネズミの絵』見物客の絵」に見物..
- 当ブログがはてなブックマークでどうブクマされているかを追跡しなくなった理由(正確..
- 東京では、まだ桜が咲いている。
- あれから1年(骨折記)
- Google+終了の件: 問題は「サービス終了」だけではなく「不都合な事実の隠蔽..
- 当ブログに入れている広告を少し整理しました。
Japanese Yen Exchange Rate
