パスワードを忘れた? アカウント作成
12270218 story
Firefox

Firefoxで一時的にFlash Playerプラグインの全バージョンが無効になる 37

ストーリー by hylom
なお一部のブラウザゲームプレイヤーに影響が出た模様 部門より
あるAnonymous Coward 曰く、

13日、Firefoxにおいて「Adobe Flash Player」のバージョン18.0.0.203以前のものをすべて標準でブロックするという措置が取られた(日経ITproGIGAZINE)。

ブロックが行われた時点ではこれよりも新しいバージョンのFlash Playerはリリースされておらず、「致命的」な2件の脆弱性(CVE-2015-5122、CVE-2015-5123)が修正された新バージョンがリリースされた14日までの間、基本的にすべてのFlash PlayerがFirefox上でブロックされる事態となった。

Flashでは、6月末にWindows、Mac、Linux版の各Flash PlayerにPCを乗っ取られる可能性があるゼロデイ脆弱性が発見されている。この脆弱性は、イタリアのセキュリティ企業「Hacking Team」がサイバー攻撃を受けたことで流出した。このような事態を受けてFacebookでセキュリティ部門を統括するアレックス・ステイモス氏がTwitter上で「AdobeはFlash終了の日を発表すべきだ」と発言するなど、セキュリティ関係者の間でいつまで経っても致命的なトラブルの減らないFlash Playerへの不満が増大しつつあるようだ(threatpostSlashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  最近、Flash Player をセキュリティの敵のような言い方をして叩くのが流行っているようですが、Firefox や Chrome においては Flash Player はサンドボックス上で実行されており、万が一脆弱性があったとしてもユーザーは、実質的な被害を受けません。

     一方、Flash Player 否定派が推奨している HTML5 + JavaScript ですが、決して安全ではなく、最高レベルの脆弱性(任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの) [mozilla-japan.org] が、直ちに悪用可能な状態で頻繁に発見されています(例示してのは Firefox ですが、他のブラウザも同様に何度も直ちに悪用可能な脆弱性が発見されています)。数年前は、JavaScript が無効でも問題なくコンテンツを閲覧できるサイトが多く必要となったドメイン(かつある程度信頼しているサイト)のみ有効にするという使い方が現実的に可能でしたが、最近は JavaScript が有効でないと見られないサイトが大半となり危険が増しています。HTML 5 + JavaScript 化の流れは、よりユーザーを危険に晒すことになるでしょう。

     上述したように、Firefox や Chrome においては Flash Player に脆弱性が発見されてもサンドボックスがあるので実質的な被害は発生することは稀なのですが、今回は、同時期に発見された Windows の権限昇格の脆弱性(Windows Vista 以降に組み込まれている ATM フォント ドライバーの脆弱性) [microsoft.com]と組み合わせることにより、Adobe Reader や Google Chrome にあるようなサンドボックス、Internet Explorer の保護モード、Microsoft Office の保護されたビューなどのありとあらゆるサンドボックスが回避されてしまい、直ちに悪用可能な状態となってしまったのです。

    Adobe Flash Player の 3つの脆弱性のうちいずれか一つと Microsoft Windows の脆弱性を組み合わせることで、攻撃者は細工された Flash コンテンツを含むウェブサイトやファイルを開いたユーザの Windows 上で、SYSTEM 権限で任意のコードを実行される可能性があります。

    一般的な攻撃手法として、Flash コンテンツを含むウェブサイトへの誘導があります。それ以外では、Flash コンテンツを含むファイルをメールに添付するなどの方法で送り付けたり、Microsoft Office ドキュメントの OLE (Object Linking and Embedding) を使用して Flash コンテンツを外部のサーバから自動でダウンロードさせたりする手法があります。

    Flash Player の脆弱性を使用して任意のコードを実行する攻撃者は、Windows の脆弱性によって SYSTEM 権限での実行が可能になります。

    この Windows の脆弱性によって、Adobe Reader や Google Chrome にあるようなサンドボックス、Internet Explorer の保護モード、Microsoft Office の保護されたビューなどを回避することが可能です。

    JVNTA#97243368 Adobe Flash Player および Microsoft Windows の脆弱性 より引用 [jvn.jp]

    本来、Flash Player の脆弱性よりも、悪用の際に組み合わせる必要のある OS の権限昇格の脆弱性(制限ユーザーがSYSTEM権限になれることから、サンドボックスの回避を始めとして、ありとあらゆる悪用が可能)の方が問題なはずですが、そっちは何故か殆ど騒がれず Flash Player だけが悪者にされているのは可哀想で心が痛みます。

    • by Anonymous Coward on 2015年07月16日 17時04分 (#2848532)

      脆弱だから嫌われているんじゃなくて、嫌われているから脆弱性が見つかるたびに叩かれているんだと思うよ

      Flashだけが脆弱性を生んでいるわけじゃないのは言われなくてもみんな知っているとおりで、
      脆弱性があるのはFlashだけじゃないのに、なぜFlashばかりが嫌われているのか、
      HTML/JavaScriptにも脆弱性はあるのに、なぜHTML/JavaScriptは受け入れられているのか、それを考えた方がいい

      親コメント
    • by Anonymous Coward

      なぜってそりゃUAC以前のWindowsはあどみんちゃんが多かったから特権昇格可能な脆弱性はいらなかった。

    • by Anonymous Coward

      結論はFormat C:?それとも sudo rm -rf

      • by Anonymous Coward

        >sudo rm -rf
        srad になったので、slash を省略しちゃったの?

    • by Anonymous Coward

      FirefoxではFlashの方が安全というのに同意ですが、ChromeではWebプロセスもsandbox化されるためどちらも同等です。というか、一番の問題は、Windowsの強制アクセス制御の弱さにあります。
      Windowsの強制アクセス制御である「整合性レベル」は、わずか6段階の設定しかありません。一方Linuxの強制アクセス制御は、システムコール毎に非常に細かく設定でき (更にはGoogleによってスクリプタブルなSeccomp-BPFまで追加され)、プロセスの権限を必要最小限にできます。

      • by Anonymous Coward

        いや、どう考えても一番の問題はFlash自身だろ。
        アクセス制御の粒度はOSごとのポリシーだし、どんな設定があったとしても脆弱性を攻撃されれば同じこと。

        • by Anonymous Coward

          0dayの脆弱性を全て無くすことは現在のところ不可能であるため、多層防御が重要となります。そのためにsandboxが導入されているわけですが、Windows上でのどんなsandbox実装も、Windowsの強制アクセス制御がしょぼいせいで弱いのです。

      • by Anonymous Coward

        よろしければ、LinuxのMACの現状について教えて頂けませんか?

        僕の知識は数年前で止まってて、SELinuxは無効化するもの、AppArmorは有効だけど何してるかわからない、TOMOYOはどこかでは使われているという知識です。

        • by Anonymous Coward

          RedHat系ではSELinux、SUSEやUbuntuではAppArmorが有効になっています。両者ともプロセスの権限を最小化するものであり、ソフトウェア毎にその動作に必要な権限を指定すると、それ以外のアクセスを防いでくれます。SELinuxは複雑で、AppArmorは単純です。
          Ubuntuでは標準で、FirefoxやChromium (Chromeのコミュニティ版)を含む以下のソフトウェアでAppArmorが有効になっています。
          https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles [ubuntu.com]

          なお、Google ChromeではSELinuxもAppArmorも使っておらず、スクリプトによってより細か

          • by Anonymous Coward

            "Supported profiles in"と書いてあるとおり、そのリストは「デフォルトで有効になっているかどうか」ではなく「サポートされているかどうか」のリストですよ。
            FireFoxに関してはこれまた注釈で"Will be disabled by default and be opt-in for advanced users"と書いてあるとおり、デフォルトでは無効になっています。

            • by Anonymous Coward

              ありゃ、本当だ。拡張に配慮してオプトインにしているんでしょうねぇ。
              ううむ、RedHatのSELinuxのように全体を無効化されてしまうよりはマシか。

  • by Anonymous Coward on 2015年07月16日 12時50分 (#2848361)

    ITmediaの記事を参照される方も多いと思いますので、ちょっと書いてみます。

    Mozilla、FirefoxでFlash Playerを(一時的に)ブロック - ITmedia ニュース
    http://www.itmedia.co.jp/news/articles/1507/15/news059.html [itmedia.co.jp]

    ITmediaの記事では、Mozillaが一時的にFlash Playerの全バージョンをブロックしたように書かれていますが、これは結果的に一時的にそのようになっただけです。
    Mozillaは以前から、脆弱性のあるバージョンのFlash Playerをブロックしていました。
    それに加えて、このストーリーにあるように18.0.0.203を追加ブロックしました。
    Windowsではブロック時に最新バージョンが18.0.0.203だったため、結果的にFlash Playerの全バージョンがブロックされました。
    その後リリースされた18.0.0.209は、もともとブロック対象ではないので、従来どおり動作します。
    また、ITmediaの記事にあるような18.0.0.203のブロック解除の予定はありません。

    この件は、24時間以上前にITmediaの記事に関する問い合わせフォームから連絡済です。

  • by StandardIO (47182) on 2015年07月16日 14時49分 (#2848441) 日記

    プランAを実行するときはそれがだめだったときのプランBをある程度形にしておく。
    そしてプランBに移りつつプランAの最大の利益を出す。
    Flashができた時からHTML5を予見できなかった連中が悪い。

    • by Anonymous Coward

      居酒屋でくだまいてるタイプの理論家ね

    • by Anonymous Coward
      Raised Fistなんて100年前から共産主義者のシンボルだろうに
      # 昔ソ連っつー国があったことも知らんのだろうな
      • by Anonymous Coward

        ユーモアのわからない人ですね。

    • by Anonymous Coward

      これがネタにマジレスというやつか……
      ただのネタ画像にこういう反応する奴がいると、場がしらけるんだよな

      • by Anonymous Coward

        教養がない若造を優しく戒めるのも老害の仕事だね。

        • by Anonymous Coward

          教養がない若造を優しく戒めるのは害でない

          状況も鑑みずに覚えたての「老害」って言葉を使いたがる幼稚な君は、
          これ以上恥の上塗りを重ねる前に発言をやめたほうがいいぞ

          • by Anonymous Coward

            年上への反論に何でも「老害」って付けとくのは
            今の子の無意識な予防線なんでしょうね。
            匿名で大人相手の知恵比べに挑むよりは
            オールマイティな否定ワードに頼る方が気楽だし。

            # googleネイティブ世代は「知らなかったこと」に対する耐性が弱すぎる

    • by Anonymous Coward

      オトポールってそんな「気持ち悪すぎる」っていうほど悪者だっけか?
      むしろネット界隈ではチュニジアやエジプトの時とかさんざもてはやされてたイメージだけど

      # まあ現在のエジプトの状況はともかくとして

  • by Anonymous Coward on 2015年07月16日 13時40分 (#2848403)

    Firefox には Flashblock 入れて、基本 Flash は動かないようにしてるんだけど、
    この緊急ブロックは Flashblock より先に動くらしく、目ざわりなブロックしてます
    表示が出てきてうざいんで、速攻でアップデートするはめに。

    もう、PC版の Firefox も、Flash はデフォルト実行時に確認でいいんじゃないか
    とも思う。

    • by Anonymous Coward

      だったらFlashBlockは使わずに、プラグインの設定から「実行時に確認する」に設定すればいいだけの話なのでは?昔、私もFlashblock使っていましたが、サイト別設定も保存できるので、今はプラグインの設定だけで運用しています。

      • by Anonymous Coward

        自分は逆で、もともとプラグイン設定でやってましたが、最近は html5 の動画広告が増えてきて、ブロック出来ないことが増えたんで
        Flashblock にしました。こいつだと html5 動画もブロックしてくれるので。

  • by Anonymous Coward on 2015年07月16日 14時39分 (#2848436)

    ・セキュリティーホール以前にバグが多すぎる。遭遇しすぎる。
    ・アップデートの仕組みが糞。毎回インストーラ起動なり、インストールの確認に複数回クリックが必要とかゴミすぎる。

    flashなんてさっさと終了してほしい

    • by Anonymous Coward

      多くのブラウザーゲームがFlashを使っているので、まだまだ終了しなさそう。
      Flashを使わないブラウザーゲームが増えていってそれが主流になればいいんだろうけどね。

      • by Anonymous Coward on 2015年07月16日 15時00分 (#2848448)

        ゴミなのに終了しなさそうだからウゼーって多くの人が思っているっていう、タレコミなんですよ。

        親コメント
      • by Anonymous Coward

        ブラウザゲームの開発元だって、ユーザーに嫌われようと思ってFlashを利用している訳ではないのですし。

        ブラウザで動作して、Flashでの開発と同程度の手間で、他の環境(HTML5等)の開発が出来て、同じようなユーザーエクスペリエンスを提供出来るのなら、とっくに移っているだろうし、そうしたくない理由は特に無いと思いますよ。

        今回、Flashを批判しているFacebookもHTML5での開発を相当なコストを突っ込んで撤退した経緯もある訳ですし、どちらもそれなりにメリットもデメリットもあって、どちらが特に優れているとか劣っているとかいうのは無いのです。

    • by Anonymous Coward

      さらに余計な物をどさくさに紛れて入れようとするあたりもゴミ
      ゴミがゴミを増やす

    • by Anonymous Coward

      クライアントアプリみたいな動作をさせるならJavaScriptでやるよりは楽だし簡潔だし、作る側としてはそんなに酷いもんでもないと思ってる。
      とはいえ微妙な部分や駄目な部分も多いから出来れば関わりあいたくないけど。
      それでも言語(SDK)としてはPHPよりは万倍良い。滅ぼすにしてもPHPが先だろう。

  • by Anonymous Coward on 2015年07月17日 1時50分 (#2848792)

    が近づいてる事を感じさせる最近の風潮
    何も今になって急に嫌われだしたんじゃなくて
    もっと蓄積的な感じ

  • by Anonymous Coward on 2015年07月17日 10時52分 (#2848911)

    フルスクラッチで書き直しても、解決出来ない問題なのでしょうか。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...