19
Snow Leopardは欠陥のあるバージョンのFlashを好む

セキュリティ企業が警告したところによると、Apple は Snow Leopard に、古くて脆弱なバージョンの Adob​​e Flash Player を同梱しているという。

フラッシュユキヒョウ

専門家によれば、さらに悪いことに、Snow Leopard は、かつては安全だった Flash Player を、Mac OS X 10.6 オペレーティング システムのアップグレードに同梱されているバグのあるバージョンに、密かに「ダウングレード」してしまうという。

テキサス州オースティンに拠点を置くMacセキュリティソフトウェア専門企業Integoは月曜日、Snow LeopardがFlash Player 10.0.23.1をインストールすると指摘しました。しかし、Mac版Flash Playerの現在のバージョンは10.0.32.18です。「Appleは時代遅れで、危険ですらあるFlash Playerを配布しているようです」と、Integoの広報担当者ピーター・ジェームズ氏は同社ブログで述べています。

水曜日、英国のウイルス対策ベンダーSophosもIntegoに同調した。「Adobe Flashを常に最新の状態に保とうと、本当に熱心に取り組んでいたと想像してみてください」と、Sophosのシニアテクニカルコンサルタント、グラハム・クルーリー氏はブログで述べた。「金曜日にSnow Leopardを入手し、コンピュータをアップデートしたと想像してみてください。ところが残念なことに、アップデート中に、Appleがあなたの知らないうちに、Flashを以前のバージョンにダウングレードしてしまいました。このバージョンは安全ではないことが知られており、様々なセキュリティ脆弱性に対するパッチも適用されていません。」

Computerworld は、Snow Leopard により、これまで Leopard と Flash Player 10.0.32.18 を実行していた Mac に Flash Player 10.0.23.1 がインストールされることを確認しました。

Adobeは7月下旬にFlash Playerを10.0.32.18にアップデートし、12件の脆弱性を修正しました。これらの脆弱性には、Microsoftの開発コードに欠陥があったことに起因する3件の脆弱性と、ハッカーが少なくとも1週間前から悪用していた1件の脆弱性が含まれています。それ以前のFlash Playerのアップデートは2月に10.0.22.87をリリースした際に行われました。

Snow Leopardに含まれるFlashのバージョン10.0.23.1は、2月のアップデートと7月のアップデートの間の暫定ビルドのようです。6月中旬の時点では、このバージョンがSnow Leopardにバンドルされる予定だと報じられていました。

開発者はある時点でコードをロックダウンする必要があり、比較的最近のアップデートを組み込むことが不可能になるため、オペレーティング システムに古いサードパーティ ソフトウェアが含まれることは珍しくありません。

しかし、Snow Leopardの問題は、AppleのFlash Playerのアップデートの遅さによってさらに深刻化しています。例えば、Adobeが2月下旬にリリースしたFlash Player 10.0.22.87をMac OS X 10.5のセキュリティアップグレードに組み込むのに、Appleは5月中旬までかかりました。

AppleがSnow Leopardの最初のセキュリティアップデートをいつリリースするかは不明です。2007年、AppleはLeopardのリリースから約3週間後にアップデートを実施しました。

クルーリー氏は、Snow Leopardユーザーに対し、セキュリティ確保のためFlash Playerのアップデートを手動で実行するよう勧告しました。AdobeのウェブサイトのこちらのページにアクセスしてFlash Playerの現在のバージョンを確認し、こちらからダウンロードして10.0.32.18にアップグレードできます。

「これは最優先事項として取り組むべきだ」とクルーリー氏は述べた。「セキュリティ上の脆弱性に関しては、Adobeは『新たなMicrosoft』であり、ハッカーは悪用できる脆弱性を探してAdobeのソフトウェアを標的にしている。セキュリティ対策を常に最新の状態に保ってきたMacユーザーが、黙ってダウングレードされるべきではない。」

時代遅れのFlashソフトウェアを軽視してきたOSメーカーはAppleだけではありません。2008年6月、MicrosoftはWindows XP Service Pack 3(SP3)に、時代遅れで脆弱なバージョンのFlashを同梱しました。これは、この由緒あるOSの最後のメジャーアップグレードでした。

Apple社は、Snow Leopardがいつロックダウンされたのか、また、いつOSをアップデートして最新バージョンのFlash Playerを提供するのかといった質問には回答しなかった。

Airpods
Posted by Timsod