▼ 2015/01/23(金) Flash Player に未修正のセキュリティ欠陥、既に悪用されている
Flash Player に未修正のセキュリティ欠陥があり、既に悪用されていることが明らかとなりました。最新バージョンである 16.0.0.287 にもこの欠陥があります。
- APSA15-01 - Security Advisory for Adobe Flash Player (Adobe)
- Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK (Malware don't need Coffee)
修正版 Flash Player は、来週(1月26日の週)公開される予定です。
Adobe は回避方法を明示していませんが、次の方法があります。
- Flash Player をアンインストールする。この方法が最も確実です。
- Web ブラウジングには Google Chrome を使用する。現在知られているマルウェア(ウイルス)は、Internet Explorer + Flash Player は攻略できますが、Google Chrome + 内蔵 Flash Player は攻略できないことが確認されています。
- 脆弱性緩和ツール EMET 5.1 をインストールする。推奨設定(Recommended Settings)を選択する事で、現在知られているマルウェアを撃退できることが確認されています。
■ 2015.01.28 追記
- TB-URL(確認後に公開) https://www.st.ryukoku.ac.jp/blog/vuln/0752/tb/
▼ 2015/01/23(金) Flash Player 更新版公開(Windows 用 16.0.0.287 など)
Flash Player の更新版が公開されました。1 件のセキュリティ欠陥が修正されています。ただし、この最新版には未修正のセキュリティ欠陥が残っているので注意してください。
次のバージョンが最新となります。
| プラットホーム | バージョン |
|---|---|
| Windows | 16.0.0.287 (ActiveX) |
| 16.0.0.287 (NPAPI プラグイン) | |
| Mac | 16.0.0.287 |
| Linux | 11.2.202.438 |
| Google Chrome | 16.0.0.287 (Linux 版のみ 16.0.0.291) |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 16.0.0.287 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 16.0.0.287 |
Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新してください。
なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。
Flash Player for Windows / Mac / Linux
Flash Player 16.0.0.287 / 11.2.202.438 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。
| プラットホーム | ダウンロード | |
|---|---|---|
| Windows (16.0.0.287) | Internet Explorer (ActiveX) 用 | EXE ファイル、MSI ファイル |
| Firefox, Opera など NPAPI プラグイン用 | EXE ファイル、MSI ファイル | |
| Mac (16.0.0.287) | DMG ファイル | |
| Linux (11.2.202.438) | RPM ファイル | 32bit 版、64 bit 版 |
| tar.gz ファイル | 32bit 版、64 bit 版 | |
原則として Flash Player 16 系列の最新版に更新してください。互換性の問題等により どうしても更新できない場合にのみ、Flash Player 13 系列の最新版 13.0.0.262 をご利用ください。Flash Player 13.0.0.262 は Archived Flash Player versions からダウンロードできます。また Windows / Mac 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。Linux 用の 13.0.0.262 は存在しません。
| プラットホーム | ダウンロード | |
|---|---|---|
| Windows (13.0.0.262) | Internet Explorer 用 | EXE ファイル、MSI ファイル |
| Firefox, Opera などプラグイン方式用 | EXE ファイル、MSI ファイル | |
| Mac (13.0.0.262) | DMG ファイル | |
Flash Player 10.3 系列の更新は 2013.07 で終了しました。11.7 系列の更新も 2014.05 に終了しました。Flash Player 16 あるいは 13 系列に移行してください。
Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。
Google Chrome に内蔵されている Flash Player は自動的に更新されます。ただし、Chrome 本体とは異なり、すぐには更新されないようです。強制的に更新することもできません。利用者は Flash Player が上記のバージョン以降に更新されていることを chrome://plugins から確認してください。更新されていない場合は、更新されるまで無効に設定することを推奨します。chrome://plugins で確認できる Flash Player のうち、PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefox などと共用のプラグイン方式用です。
PPAPI 版の Flash Player を個別にインストールしたい場合は、http://get.adobe.com/flashplayer/otherversions からダウンロードしてください。
Windows 8 / Server 2012 / RT の Internet Explorer 10 専用版の Flash Player の更新、Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 専用版の Flash Player の更新は Microsoft から提供されます。Microsoft Update や Microsoft Windows Software Update Services などを利用して更新してください。Windows 7 のInternet Explorer 10 / 11 では、専用版ではなく Internet Explorer 汎用版を使用します。
Mac では、15.0.0.223 または 13.0.0.252 より前の Flash Player はブロックされると Apple から案内されています。ご注意ください。参照:APPLE-SA-2014-11-20-1 OS X: Flash Player plug-in blocked (Apple)
Flash Player for Android
Android 用の Flash Player の更新は終了しました。詳細は、Archived Flash Player versions の Flash Player for Android 4.0 archives と Flash Player for Android 2.x and 3.x archives を参照してください。
Flash Player バージョン確認方法
現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。
関連キーワード: Flash Player
■ 2015.01.28 追記
残る1件のセキュリティ欠陥は、Flash Player の更新版が公開され、修正されました。
- TB-URL(確認後に公開) https://www.st.ryukoku.ac.jp/blog/vuln/0751/tb/
▼ 2015/01/23(金) Java SE 8 Update 31、Java SE 7 Update 75/76 公開
Java SE 8 Update 31、Java SE 7 Update 75/76 が公開されました。19 件のセキュリティ欠陥が修正されています。Java SE 利用者は更新してください。
- Java SE Downloads (Oracle)
Java SE 7 は 2015 年 4 月にサポートが終了する予定です。Java SE 7 をご利用の方は、Java SE 8 へ移行してください。Java SE 7 を自動アップデートすると JAVA SE 8 Update 31 に更新されます。またインストール中に「Search App By Ask」などの 3rd パーティーソフトのインストールを促されることがありますが、インストールしない事を推奨します。
Java SE 7 Update 10 以降では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。チェックを外すことを強く推奨します。
関連キーワード: Java
- TB-URL(確認後に公開) https://www.st.ryukoku.ac.jp/blog/vuln/0750/tb/
▼ 2015/01/23(金) Google Chrome 40.0.2214.91 公開
Google Chrome 40.0.2214.91 が公開されています。62 件のセキュリティ欠陥が修正されています。
- Stable Channel Update (Google Chrome Release blog)
Google Chrome は自動的に更新されます。Windows / Mac / Linux 向けの Chrome 利用者は上記バージョン以降に更新されていることを確認してください。
関連キーワード: Chrome
- TB-URL(確認後に公開) https://www.st.ryukoku.ac.jp/blog/vuln/0749/tb/