2014年05月02日

IEばかりじゃない、Adobe Flash Playerの脆弱性対策もお忘れなく

このところ、IEの脆弱性問題でいろいろ世間はにぎやかなんですが、問題はIEばかりではなく、他のものにもいっぱいあるってことを忘れてはいけません。

JavaやFlashPlayerなどについても同様で、頻繁に更新を促す画面が出て、面倒と思われる方も多いようですが、これらは、すでにPCに導入されている各ソフトの不具合を修正するために配信されているものなので、すぐにインストールしないとどうこうなる問題ではないにせよ、更新の通知が表示されるようであれば早めにインストールして、最新の状態を保っておくことを心がけるべきです。

今回ご紹介するのは、IEの脆弱性が指摘された時とほぼ同時に指摘されていて、あまりにもIEの脅威ばかりが強調されて、ちょっと陰に隠れてしまった、Flash Playerの脆弱性。
いつものことといえばそうでもあるんですが、こちらも緊急の対応が必要です。
Windowsばかりではなく、Mac、Linuxとすべてのものに共通します。

とりあえず対応させるにはAdobeFlash Playerを更新すること。ただし、Windows8以降のOSをご利用の場合には、Flash Playerを単独でインストールすることができませんので、Windows Updateで提供されるものが見つかりましたらUpdateをしてください。

また今回IEの脆弱性で、脚光を浴びることになった Google Chromeですが、こちらもFlash Playerを単独でインストールができません。Google Chromeの場合には、Google Chromeの更新をして、最新の状態にUpdateすることで更新されます。(Google Chromeの設定メニューの色で確認します)

Google Chrome を更新する

またGoogle Chromeの場合、喉元過ぎればといことで忘れがちですが、以下のように設定を変更して利用する必要があります。

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

20140501-1.jpg20140501-2.jpg
20140501-3.jpg

ちょっと前に発覚したOpenSSLの不具合に対するユーザー側の対応として、上記にあるような HTTPS/SSL における "証明書の失効確認を有効にする" という設定(Google Chromeでは、"サーバー証明書の取り消しを確認する" という部分)が既定では有効にはなっておりませんので、合わせて設定を確認の上変更しておいて下さい。

ここ数日にぎやかだったIEの脆弱性については、Windows Updateを通じて更新プログラムの配布が始まりました。

セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開

重要な更新としてUpdateされますので、特別 Windows Updateを実行しなくても自動更新(既定の設定でご利用の場合)の場合には、自動的に更新されます。
また気になる方はコントロールパネルからWindows Updateを開いて直接更新を実行してみてください。

【追加情報】
Windows8/8.1向けにもFlash PlayerのUpdateが提供されました。こちらもWindows Updateでインストールされますので、詳細は以下のサイトをご確認ください。今回提供されているKB2961887は、ここで紹介したFlash Playerの脆弱性(CVE-2014-0515)に対応させるものです。

Microsoft Security Advisory: Update for vulnerabilities in Adobe Flash Player in Internet Explorer: April 28, 2014


<参照>
Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)
Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム/マイクロソフト セキュリティ アドバイザリ (2755801)
posted by クリック at 11:23| 東京 ☁| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする