［米国］
アドビ、Flash脆弱性の問題でFlash Playerをまもなく更新

「攻撃を受けるおそれのあるサイトは1万以上」とグーグルの研究員が指摘

（2008年03月31日）

　米国Adobe Systemsは、多数のWebサイトで発見されたFlashファイルを巡る脆弱性問題に対し、自社のマルチメディア・ソフトウェア「Flash Player」をまもなくアップデートする方針だ。

　この問題は昨年12月、米国Googleの研究員であるリッチ・カニングス（Rich Cannings）氏により発見された。Cannings氏の報告によると、バグのあるShockwave Flash（.swf）ファイルが、Webユーザーを攻撃するために悪用されるおそれがあるという。また、攻撃者がいわゆるクロスサイト・スクリプティング攻撃を用いて偽のフィッシング・ページを作成したり、被害者のオンライン・バンキング・セッションやWebアカウントにアクセスしたりする可能性もあるとしている。

　Cannings氏による報告のあと、Adobeや他のソフトウェア・ベンダー各社は、脆弱なFlashファイルが作成されないように開発ツールを更新したが、現在もこうしたファイルが50万個以上、インターネット上のさまざまなサイトで公開されていると、Cannings氏は指摘している。

　これらのファイルを一掃するのにかかる労力を考慮し、Cannings氏はAdobeに、クロスサイト・スクリプティング攻撃を無効にする変更をFlash Playerに加えるよう勧めていた。Adobeの広報担当者マット・ローゼン（Matt Rozen）氏は、「更新プログラムは現在開発中で、まもなくリリースする予定だ」と電子メールで説明している。

　Adobeの当面の課題は、既存のFlashファイルが見にくくならない解決方法を探すことだとセキュリティ専門家らは口をそろえる。Cannings氏は3月28日、IDG News Serviceの取材に対し、「Adobeがブラウザ・メーカーを説得して、ブラウザに手を加えてもらうことができれば、問題解決がより容易になるだろう」と語った。

　同氏は、今回の問題を公表してから3カ月経った今も、問題の影響で攻撃を受けるおそれのあるサイトがまだ1万以上あると推計している。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)