by Tomas Caspers



Facebookでセキュリティ部門を統括するアレックス・ステイモス氏がTwitter上で「AdobeはFlash終了の日を発表すべきだ」と発言していたことが明らかになりました。AdobeのFlash Playerには次から次へと脆弱性が発見されており、セキュリティ関係のコミュニティでは不満が募っていたようです。



Facebook's new chief security officer wants to set a date to kill Flash | The Verge

http://www.theverge.com/2015/7/13/8948459/adobe-flash-insecure-says-facebook-cso



ステイモス氏の発言の原因の1つと考えられるのは6月25日、「Adobe Flash Player」をインストールしているWindows・Mac OS X・Linux搭載PCに、PCのコントロールがハッカーに奪われるゼロデイ脆弱性があることが判明したこと。



PCを乗っ取られる凶悪な脆弱性が「Flash Player」にあると判明、Adobeが緊急パッチを配布中 - GIGAZINE







また7月8日にはイタリアのセキュリティ企業「Hacking Team」がハッキング攻撃を受け、400GBに上る内部資料がネット上に流出。内部資料からはAdobeも把握していなかった、上記とは別のゼロデイ脆弱性をHacking Teamが知っていたことが明らかになりました。



政府に国民監視用スパイウェアを販売していた会社に反撃のハッキング、400GBの内部情報がネット上に流出 - GIGAZINE







Adobeは2015年1月・2月にもAdobe Flash Playerに深刻な脆弱性が発見されたとして緊急アップデートを実施しており、ステイモス氏の発言はこれら一連の流れを受けたものと見られています。ステイモス氏の実際の発言は以下の通り。「AdobeがFlash終了の日を告げ、ブラウザにKill bitを設定する時がやってきた」「今後18カ月でエコシステムにおけるアップグレードと依存のもつれを一度に解く唯一の方法が、終了の日を設けることだ」としています。



Even if 18 months from now, one set date is the only way to disentangle the dependencies and upgrade the whole ecosystem at once.