マイクロソフトの2月度パッチ(セキュリティ更新プログラム)の公開が延期された影響で、Windows 8.1/10上のInternet Explorer 11およびEdgeでは、内蔵のFlash Playerが脆弱性を抱えたままの状態となっている。
マイクロソフトは2月度セキュリティパッチの公開予定日だった15日、パッチ公開の直前に問題が見つかり解決が間に合わなかったとして、公開延期を発表。翌16日、2月度パッチを3月度のパッチの一部として配信すると発表した。
Windows 8.1/10上のInternet Explorer 11およびEdgeには、Flash Playerが内蔵されており、アップデートはWindows Updateを通じて行われる。2月度パッチでは、これらを最新版へ更新して脆弱性に対処するはずだった。同最新版では、悪用されるとシステムが乗っ取られるおそれがある、深刻な脆弱性13件が修正されている。
Flash Playerをめぐっては、最新版公開直後から、未更新のユーザーを狙って脆弱性の悪用が始まることがよくある。速やかに更新することが望ましいのだが、今回は悪用が始まらないことを祈りつつ、マイクロソフトからの配信を待つしかない。
このため、Windows 8.1/10を利用している方は、Flash Playerの最新版が配信されるまでの間、Internet Explorer 11およびEdgeの設定を変更して対処するようおすすめする。
■Internet Explorer 11では
以下のどちらかを行う。
・Flash Playerを無効化する
ツールアイコン(歯車)またはツールメニューから[アドオンの管理]を開く。[アドオンの種類]で[ツールバーと拡張機能]を、[表示]で[すべてのアドオン]を選択する。右のリストから「Shockwave Flash Object」を選択し、右下の「無効にする]ボタンを押す。
・Flash Playerが自動で実行されないようにする
ツールアイコン(歯車)またはツールメニューから[アドオンの管理]を開く。[アドオンの種類]で[ツールバーと拡張機能]を、[表示]で[すべてのアドオン]を選択する。右のリストから「Shockwave Flash Object」を選択し、パネル下や右クリックメニューの[詳細情報]を選択するか、ダブルクリックして[詳細情報]を表示する。左下の[すべてのサイトの削除]ボタンを押す。
設定後は、Flashコンテンツを含むページを開くと実行許可を求めて来るようになる。[許可]をクリックすると実行する。許可すると、以後このサイトでは常に自動実行するようになる。
■Edgeでは
Edgeは、Windows 10の標準ブラウザ(自ら設定を変更していなければ標準で起動するブラウザ)。最新の状態のEdgeでは、自動実行されるFlashコンテンツはページのメインとなっているもの(ゲーム、ビデオなど)のみで、それ以外のコンテンツ(広告など)はユーザーがクリックしない限り実行されないことになっている。しかし安全のため、対処をおすすめしたい。
Edge内蔵のFlash Playerは、現時点では細かな制御機能が用意されていないため、無効にするしか対処方法がない。
・Flash Playerを無効化する
メニューアイコン(…)をクリックし、[設定]を開く。スクロールした下の方にある[詳細設定表示]をクリックし、[Adobe Flash Playerを使う]を[オフ]にする。
(2017/02/17 ネットセキュリティニュース)
【関連URL】
・2017年2月のセキュリティ更新プログラムリリース(マイクロソフト 日本のセキュリティチームのブログ)
https://blogs.technet.microsoft.com/jpsecurity/2017/02/15/february-2017-security-update-release/
・Adobe Flash Playerに関するセキュリティアップデート公開(アドビシステムズ)
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-04.html