ソフトウェア

次期「Safari 10」では最初からAdobe Flashが無効化される


Appleは次期macOSで採用される標準ブラウザ「Safari 10」で、Adobe Flashをデフォルトで無効化することに決めました。背景にはFlashが抱える「ゼロデイ攻撃を受け得る脆弱性」という致命的な問題が見え隠れしています。

Next Steps for Legacy Plug-ins | WebKit
https://webkit.org/blog/6589/next-steps-for-legacy-plug-ins/

Safari 10では、これまでムービーを中心とするインタラクティブなコンテンツ再生に必要だったAdobe FlashやSilverlightなどのプラグインが初期状態で無効化されます。これによって例えばFlashとHTML5の両方を実装するウェブサイトでは、Safariは常にHTML5を適用してコンテンツを表示します。


Flashなどのプラグインをインストールしていない環境で、HTML5が実装されておらずFlashのみというサイトを表示する場合、現状のSafariでは「Adobe Flashがインストールされていません」という表示と共にプラグインのダウンロードリンクが表示されますが、Safari 10ではこの種のリンクは表示されないとのこと。代わりに、一時的にFlashなどのプラグインを有効化できるオプションが表示され、一時的な利用を選べばHTML5環境なしでFlashコンテンツを利用できるようになります。つまり、ブラウザ全体でFlashを有効化するのではなく、サイトごとに有効化を選択できるというわけです。

下の画像の「Use Once」を選べばFlashを一時的に利用できます。なお、注意書きにある「To improve security(セキュリティを保つために)」という表現がミソです。


Flashにはゼロデイ攻撃を受けかねない脆弱性がつきまとっており、セキュリティ上の大きな問題を抱えています。例えば、記事作成時点で最新版のFlash(21.0.0.242)には、ScarCruftと呼ばれるAPT攻撃の危険性がKaspersky研究所によって指摘されています。

Adobe Flash Zero-day used in targeted attacks - Securelist
https://securelist.com/blog/research/75082/cve-2016-4171-adobe-flash-zero-day-used-in-targeted-attacks/

この脆弱性についてはAdobe自身も把握していますが、Adobeはこの脆弱性の修正について「早ければ2016年6月16日にリリースする」と発表しています。

Adobe Security Advisory
https://helpx.adobe.com/security/products/flash-player/apsa16-03.html

なお、前述のKaspersky研究所はAdobeの遅い対応に批判的で、6月16日のサポートまでは、攻撃の軽減に有効性が確認されたMicrosoft EMETの利用を推奨しています。

Safari 10だけでなく、すでにGoogleもブラウザChromeでのFlash停止を発表しており、いよいよFlash排除が主流になりそうです。

Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
次期「Safari 10.0」で新しく追加される機能まとめ - GIGAZINE

「AdobeはFlash終了の日を発表すべき」とFacebookのセキュリティ担当が発言 - GIGAZINE

GoogleがFlashを使った広告を全面禁止へ、HTML5ベースに - GIGAZINE

PCを乗っ取られる凶悪な脆弱性が「Flash Player」にあると判明、Adobeが緊急パッチを配布中 - GIGAZINE

Mac OS Xは新名称「macOS」へ、Siri対応や自動アンロックなど8つの新機能が追加される - GIGAZINE

macOSで採用されるAppleの新ファイルシステム「APFS」 - GIGAZINE

・関連コンテンツ

in ソフトウェア, Posted by darkhorse_log

You can read the machine translated English article here.