進まないFlash Playerのバージョンアップ

Security 6月 15, 2008
(Last Updated On: 2008年6月15日)

Flash Playerのバージョンアップがなかなか進まないようです。

先月末にあったSymantec社の0Day攻撃の誤報のおかげでかなりバージョンアップが進んだのですが、残念ながらまだまだのようです。例えば、先週1週間のこのブログへのアクセス集計では既知の脆弱性が無い9.0.124を利用していたのはたったの40%です。

バージョンアップが進まない原因にはAdobeのサポート方針にも大きな原因があると言えます。

Flash Playerには更新を自動的にチェックする機能が付いています。しかし、このバージョンチェック機能はデフォルト値は適切とは言い難く、さらにWindowsでしか利用できません。

自動通知を使用できるのは、すべての Windows プラットフォーム上で、Internet Explorer、AOL、Mozilla、Netscape および Opera ブラウザを使用している場合です。

このブログを閲覧されている方でLinux、OSXを利用されている方はおよそ10%ほどになります。これらのOSでFlash Playerを利用されているユーザは脆弱性を修正したバージョンがリリースされている事に気付いていない方もいらっしゃるかも知れません。

Windows環境では自動バージョンチェックが利用できる可能性も高いです。しかし、チェックの間隔は30日毎で適正とは言える間隔ではありません。毎日PCを利用しているユーザの場合、脆弱性を修正したバージョンがリリースされてから、早くても30日後でないと新しいバージョンの通知が行われません。

Flash Player の新しいバージョンが利用可能になるたびに Adobe から自動的に通知を受け取る場合は、[Adobe Flash Player アップデートのリリース情報を通知します。] を選択します。ポップアップメニューから、Flash Player でアップデートの有無をチェックする頻度を選択します。デフォルト値は 30 日です。

以前からこのバージョンチェック機能は動作していない事が多いのではないか、と信頼性には疑問を持っていました。デフォルト通り30日毎に新しいバージョンをチェックしているのであれば、9.0.124がリリースされてから1ヶ月以上経過しており、もっと多くのユーザが最新版のFlash Playerを利用していても良いと考えられます。

WindowsユーザのFlash Playerのバージョンのみを抽出できないので統計情報から推測ですが、30日を越えてもバージョンチェック機能が動作せず、その結果、脆弱性があるバージョンをそのまま利用してしまっているユーザがかなりの数いると推測できます。実際、リビングに置いているPCなどでは時々利用しているにも関わらず、Flash Playerのバージョンチェックが動作せず、古いバージョンのままであった事が少なくありません。

Flashのバージョンチェック、設定チェックのURLはWikiに載せています。

http://wiki.ohgaki.net/index.php?Flash%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF

少なくとも普段自分が利用しているブラウザに最新版のFlashがインストールされているか、時々チェックする方が良いと思います。

投稿者: yohgaki