Firefoxで一時的にFlash Playerプラグインの全バージョンが無効になる 37
ストーリー by hylom
なお一部のブラウザゲームプレイヤーに影響が出た模様 部門より
なお一部のブラウザゲームプレイヤーに影響が出た模様 部門より
あるAnonymous Coward 曰く、
13日、Firefoxにおいて「Adobe Flash Player」のバージョン18.0.0.203以前のものをすべて標準でブロックするという措置が取られた(日経ITpro、GIGAZINE)。
ブロックが行われた時点ではこれよりも新しいバージョンのFlash Playerはリリースされておらず、「致命的」な2件の脆弱性(CVE-2015-5122、CVE-2015-5123)が修正された新バージョンがリリースされた14日までの間、基本的にすべてのFlash PlayerがFirefox上でブロックされる事態となった。
Flashでは、6月末にWindows、Mac、Linux版の各Flash PlayerにPCを乗っ取られる可能性があるゼロデイ脆弱性が発見されている。この脆弱性は、イタリアのセキュリティ企業「Hacking Team」がサイバー攻撃を受けたことで流出した。このような事態を受けてFacebookでセキュリティ部門を統括するアレックス・ステイモス氏がTwitter上で「AdobeはFlash終了の日を発表すべきだ」と発言するなど、セキュリティ関係者の間でいつまで経っても致命的なトラブルの減らないFlash Playerへの不満が増大しつつあるようだ(threatpost、Slashdot)。
HTML5+JavaScript よりも Flash Player の方が安全 (スコア:3)
最近、Flash Player をセキュリティの敵のような言い方をして叩くのが流行っているようですが、Firefox や Chrome においては Flash Player はサンドボックス上で実行されており、万が一脆弱性があったとしてもユーザーは、実質的な被害を受けません。
一方、Flash Player 否定派が推奨している HTML5 + JavaScript ですが、決して安全ではなく、最高レベルの脆弱性(任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの) [mozilla-japan.org] が、直ちに悪用可能な状態で頻繁に発見されています(例示してのは Firefox ですが、他のブラウザも同様に何度も直ちに悪用可能な脆弱性が発見されています)。数年前は、JavaScript が無効でも問題なくコンテンツを閲覧できるサイトが多く必要となったドメイン(かつある程度信頼しているサイト)のみ有効にするという使い方が現実的に可能でしたが、最近は JavaScript が有効でないと見られないサイトが大半となり危険が増しています。HTML 5 + JavaScript 化の流れは、よりユーザーを危険に晒すことになるでしょう。
上述したように、Firefox や Chrome においては Flash Player に脆弱性が発見されてもサンドボックスがあるので実質的な被害は発生することは稀なのですが、今回は、同時期に発見された Windows の権限昇格の脆弱性(Windows Vista 以降に組み込まれている ATM フォント ドライバーの脆弱性) [microsoft.com]と組み合わせることにより、Adobe Reader や Google Chrome にあるようなサンドボックス、Internet Explorer の保護モード、Microsoft Office の保護されたビューなどのありとあらゆるサンドボックスが回避されてしまい、直ちに悪用可能な状態となってしまったのです。
本来、Flash Player の脆弱性よりも、悪用の際に組み合わせる必要のある OS の権限昇格の脆弱性(制限ユーザーがSYSTEM権限になれることから、サンドボックスの回避を始めとして、ありとあらゆる悪用が可能)の方が問題なはずですが、そっちは何故か殆ど騒がれず Flash Player だけが悪者にされているのは可哀想で心が痛みます。
Re:HTML5+JavaScript よりも Flash Player の方が安全 (スコア:1)
脆弱だから嫌われているんじゃなくて、嫌われているから脆弱性が見つかるたびに叩かれているんだと思うよ
Flashだけが脆弱性を生んでいるわけじゃないのは言われなくてもみんな知っているとおりで、
脆弱性があるのはFlashだけじゃないのに、なぜFlashばかりが嫌われているのか、
HTML/JavaScriptにも脆弱性はあるのに、なぜHTML/JavaScriptは受け入れられているのか、それを考えた方がいい
Re: (スコア:0)
なぜってそりゃUAC以前のWindowsはあどみんちゃんが多かったから特権昇格可能な脆弱性はいらなかった。
Re: (スコア:0)
結論はFormat C:?それとも sudo rm -rf
Re: (スコア:0)
>sudo rm -rf
srad になったので、slash を省略しちゃったの?
Re: (スコア:0)
FirefoxではFlashの方が安全というのに同意ですが、ChromeではWebプロセスもsandbox化されるためどちらも同等です。というか、一番の問題は、Windowsの強制アクセス制御の弱さにあります。
Windowsの強制アクセス制御である「整合性レベル」は、わずか6段階の設定しかありません。一方Linuxの強制アクセス制御は、システムコール毎に非常に細かく設定でき (更にはGoogleによってスクリプタブルなSeccomp-BPFまで追加され)、プロセスの権限を必要最小限にできます。
Re: (スコア:0)
いや、どう考えても一番の問題はFlash自身だろ。
アクセス制御の粒度はOSごとのポリシーだし、どんな設定があったとしても脆弱性を攻撃されれば同じこと。
Re: (スコア:0)
0dayの脆弱性を全て無くすことは現在のところ不可能であるため、多層防御が重要となります。そのためにsandboxが導入されているわけですが、Windows上でのどんなsandbox実装も、Windowsの強制アクセス制御がしょぼいせいで弱いのです。
Re: (スコア:0)
よろしければ、LinuxのMACの現状について教えて頂けませんか?
僕の知識は数年前で止まってて、SELinuxは無効化するもの、AppArmorは有効だけど何してるかわからない、TOMOYOはどこかでは使われているという知識です。
Re: (スコア:0)
RedHat系ではSELinux、SUSEやUbuntuではAppArmorが有効になっています。両者ともプロセスの権限を最小化するものであり、ソフトウェア毎にその動作に必要な権限を指定すると、それ以外のアクセスを防いでくれます。SELinuxは複雑で、AppArmorは単純です。
Ubuntuでは標準で、FirefoxやChromium (Chromeのコミュニティ版)を含む以下のソフトウェアでAppArmorが有効になっています。
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles [ubuntu.com]
なお、Google ChromeではSELinuxもAppArmorも使っておらず、スクリプトによってより細か
Re: (スコア:0)
"Supported profiles in"と書いてあるとおり、そのリストは「デフォルトで有効になっているかどうか」ではなく「サポートされているかどうか」のリストですよ。
FireFoxに関してはこれまた注釈で"Will be disabled by default and be opt-in for advanced users"と書いてあるとおり、デフォルトでは無効になっています。
Re: (スコア:0)
ありゃ、本当だ。拡張に配慮してオプトインにしているんでしょうねぇ。
ううむ、RedHatのSELinuxのように全体を無効化されてしまうよりはマシか。
ITmediaの記事 (スコア:1)
ITmediaの記事を参照される方も多いと思いますので、ちょっと書いてみます。
Mozilla、FirefoxでFlash Playerを(一時的に)ブロック - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1507/15/news059.html [itmedia.co.jp]
ITmediaの記事では、Mozillaが一時的にFlash Playerの全バージョンをブロックしたように書かれていますが、これは結果的に一時的にそのようになっただけです。
Mozillaは以前から、脆弱性のあるバージョンのFlash Playerをブロックしていました。
それに加えて、このストーリーにあるように18.0.0.203を追加ブロックしました。
Windowsではブロック時に最新バージョンが18.0.0.203だったため、結果的にFlash Playerの全バージョンがブロックされました。
その後リリースされた18.0.0.209は、もともとブロック対象ではないので、従来どおり動作します。
また、ITmediaの記事にあるような18.0.0.203のブロック解除の予定はありません。
この件は、24時間以上前にITmediaの記事に関する問い合わせフォームから連絡済です。
Re:ITmediaの記事 (スコア:1)
Re: (スコア:0)
Linux向けの11.2.202.481も同じ脆弱性があるので、Firefoxのブロック対象です。
修正ジャージョンは、7月12日の週にリリースされるとAdobeからアナウンスされています。
https://helpx.adobe.com/security/products/flash-player/apsb15-18.html [adobe.com]
Re:ITmediaの記事 (スコア:1)
・・・だが、こっちはUbuntuなんでまだアップデートが来てないんだな。
商売下手なんだな (スコア:1)
プランAを実行するときはそれがだめだったときのプランBをある程度形にしておく。
そしてプランBに移りつつプランAの最大の利益を出す。
Flashができた時からHTML5を予見できなかった連中が悪い。
Re: (スコア:0)
居酒屋でくだまいてるタイプの理論家ね
気持ち悪すぎる (スコア:0)
https://twitter.com/MarkSchmidty/status/620783674561327104 [twitter.com]
http://www.tv-tokyo.co.jp/zipangu/backnumber/20130902/ [tv-tokyo.co.jp]
Re: (スコア:0)
# 昔ソ連っつー国があったことも知らんのだろうな
Re: (スコア:0)
ユーモアのわからない人ですね。
Re: (スコア:0)
これがネタにマジレスというやつか……
ただのネタ画像にこういう反応する奴がいると、場がしらけるんだよな
Re: (スコア:0)
教養がない若造を優しく戒めるのも老害の仕事だね。
Re: (スコア:0)
教養がない若造を優しく戒めるのは害でない
状況も鑑みずに覚えたての「老害」って言葉を使いたがる幼稚な君は、
これ以上恥の上塗りを重ねる前に発言をやめたほうがいいぞ
Re: (スコア:0)
年上への反論に何でも「老害」って付けとくのは
今の子の無意識な予防線なんでしょうね。
匿名で大人相手の知恵比べに挑むよりは
オールマイティな否定ワードに頼る方が気楽だし。
# googleネイティブ世代は「知らなかったこと」に対する耐性が弱すぎる
Re: (スコア:0)
オトポールってそんな「気持ち悪すぎる」っていうほど悪者だっけか?
むしろネット界隈ではチュニジアやエジプトの時とかさんざもてはやされてたイメージだけど
# まあ現在のエジプトの状況はともかくとして
Flashblock (スコア:0)
Firefox には Flashblock 入れて、基本 Flash は動かないようにしてるんだけど、
この緊急ブロックは Flashblock より先に動くらしく、目ざわりなブロックしてます
表示が出てきてうざいんで、速攻でアップデートするはめに。
もう、PC版の Firefox も、Flash はデフォルト実行時に確認でいいんじゃないか
とも思う。
Re: (スコア:0)
だったらFlashBlockは使わずに、プラグインの設定から「実行時に確認する」に設定すればいいだけの話なのでは?昔、私もFlashblock使っていましたが、サイト別設定も保存できるので、今はプラグインの設定だけで運用しています。
Re: (スコア:0)
自分は逆で、もともとプラグイン設定でやってましたが、最近は html5 の動画広告が増えてきて、ブロック出来ないことが増えたんで
Flashblock にしました。こいつだと html5 動画もブロックしてくれるので。
Flashのダメなところ (スコア:0)
・セキュリティーホール以前にバグが多すぎる。遭遇しすぎる。
・アップデートの仕組みが糞。毎回インストーラ起動なり、インストールの確認に複数回クリックが必要とかゴミすぎる。
flashなんてさっさと終了してほしい
Re: (スコア:0)
多くのブラウザーゲームがFlashを使っているので、まだまだ終了しなさそう。
Flashを使わないブラウザーゲームが増えていってそれが主流になればいいんだろうけどね。
Re:Flashのダメなところ (スコア:1)
ゴミなのに終了しなさそうだからウゼーって多くの人が思っているっていう、タレコミなんですよ。
Re: (スコア:0)
ブラウザゲームの開発元だって、ユーザーに嫌われようと思ってFlashを利用している訳ではないのですし。
ブラウザで動作して、Flashでの開発と同程度の手間で、他の環境(HTML5等)の開発が出来て、同じようなユーザーエクスペリエンスを提供出来るのなら、とっくに移っているだろうし、そうしたくない理由は特に無いと思いますよ。
今回、Flashを批判しているFacebookもHTML5での開発を相当なコストを突っ込んで撤退した経緯もある訳ですし、どちらもそれなりにメリットもデメリットもあって、どちらが特に優れているとか劣っているとかいうのは無いのです。
Re: (スコア:0)
さらに余計な物をどさくさに紛れて入れようとするあたりもゴミ
ゴミがゴミを増やす
Re: (スコア:0)
クライアントアプリみたいな動作をさせるならJavaScriptでやるよりは楽だし簡潔だし、作る側としてはそんなに酷いもんでもないと思ってる。
とはいえ微妙な部分や駄目な部分も多いから出来れば関わりあいたくないけど。
それでも言語(SDK)としてはPHPよりは万倍良い。滅ぼすにしてもPHPが先だろう。
Flash PlayerとAdobeに対する我慢の限界 (スコア:0)
が近づいてる事を感じさせる最近の風潮
何も今になって急に嫌われだしたんじゃなくて
もっと蓄積的な感じ
機能に欠陥があるのか、実装に欠陥があるのか? (スコア:0)
フルスクラッチで書き直しても、解決出来ない問題なのでしょうか。