次期「Safari 10」では最初からAdobe Flashが無効化される
Appleは次期macOSで採用される標準ブラウザ「Safari 10」で、Adobe Flashをデフォルトで無効化することに決めました。背景にはFlashが抱える「ゼロデイ攻撃を受け得る脆弱性」という致命的な問題が見え隠れしています。
Next Steps for Legacy Plug-ins | WebKit
https://webkit.org/blog/6589/next-steps-for-legacy-plug-ins/
Safari 10では、これまでムービーを中心とするインタラクティブなコンテンツ再生に必要だったAdobe FlashやSilverlightなどのプラグインが初期状態で無効化されます。これによって例えばFlashとHTML5の両方を実装するウェブサイトでは、Safariは常にHTML5を適用してコンテンツを表示します。
下の画像の「Use Once」を選べばFlashを一時的に利用できます。なお、注意書きにある「To improve security(セキュリティを保つために)」という表現がミソです。
Flashにはゼロデイ攻撃を受けかねない脆弱性がつきまとっており、セキュリティ上の大きな問題を抱えています。例えば、記事作成時点で最新版のFlash(21.0.0.242)には、ScarCruftと呼ばれるAPT攻撃の危険性がKaspersky研究所によって指摘されています。
Adobe Flash Zero-day used in targeted attacks - Securelist
https://securelist.com/blog/research/75082/cve-2016-4171-adobe-flash-zero-day-used-in-targeted-attacks/
この脆弱性についてはAdobe自身も把握していますが、Adobeはこの脆弱性の修正について「早ければ2016年6月16日にリリースする」と発表しています。
Adobe Security Advisory
https://helpx.adobe.com/security/products/flash-player/apsa16-03.html
なお、前述のKaspersky研究所はAdobeの遅い対応に批判的で、6月16日のサポートまでは、攻撃の軽減に有効性が確認されたMicrosoft EMETの利用を推奨しています。
Safari 10だけでなく、すでにGoogleもブラウザChromeでのFlash停止を発表しており、いよいよFlash排除が主流になりそうです。
Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定 - GIGAZINE