2月の間、AdobeはFlash Playerのセキュリティ・アップデートをいくつかリリースした。

Security bulletin APSB13-04

 「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。」

Adobe APSB13-04

 FirefoxまたはSafariを経由したMacへの攻撃については、我々は2月8日に言及している。

Security bulletin APSB13-08

 「ユーザをだまして、悪意のあるFlash(SWF)コンテンツを提供するWebサイトへと誘導するリンクをクリックさせる標的型攻撃の中で、CVE-2013-0643およびCVE-2013-0648が世間で悪用されているとの報告については、当社も認知している。CVE-2013-0643およびCVE-2013-0648に対するエクスプロイトは、Firefoxを標的に設計されている。」

Adobe APSB13-08

 「このアップデートは、FirefoxのFlash Player用のサンドボックスにおける権限の問題を解消する(CVE-2013-0643)。」

 Firefoxのサンドボックスから抜け出すのか?良くないね。

 幸運なことに、Windows上ではFlash Playerは比較的よく自動更新される。

 それからMacだが、現在AppleはXProtectコンポーネントによって古いバージョンをブロックしている。

 Appleはその条件をぐらつかせており、始めはバージョン11.5.502.149以上としていた。

XProtect 2013.02.26

 現在必要な最低バージョンは11.6.602.171になっており、これは最新のものだ。

XProtect 2013.02.28

 アップデートや最低要件はすばらしいが、ChromeやFirefoxのユーザにはさらに優れたもの、つまり「Click to play(クリックして再生する)」がある。「Click to play」を有効にすると、ユーザが実際に実行したいものではない場合、プラグインが起動しないように制限される。

 Chromeの場合は「chrome://settings/content」に行って「Plug-ins(プラグイン)」を検索する。

chrome://settings/content

 Firefoxなら「about:config」の設定ページを開き、「plugins.click_to_play」を検索し、値をtrueに設定する。

Firefox, plugins.click_to_play