JVNDB-2007-001071

Adobe Flash Player の AS3 におけるポートスキャンに利用される脆弱性

Adobe Flash Player の ActionScript 3 (AS3) には、Security Sandbox Model を回避し、接続時の SecurityErrorEvent エラーからのタイミングの相違を利用して、任意のホストへポートスキャン可能な脆弱性が存在します。

アドビシステムズ

• Adobe Flash Player 7.0.70.0 およびそれ以前
• Adobe Flash Player 8.0.35.0 およびそれ以前
• Adobe Flash Player 9.0.48.0 およびそれ以前
• Adobe Flash Player 9.0.124.0 およびそれ以前

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

レッドハット

• Red Hat Enterprise Linux Extras 4.5 extras 
• Red Hat Enterprise Linux Extras 3 extras 
• Red Hat Enterprise Linux Extras 4 extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 

第三者によって巧妙に作成された Flash (SWF) ムービーによって、重要な情報を奪取される、あるいは任意のホストへポートスキャン攻撃に利用される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

アドビシステムズ

• Adobe Security Bulletin : APSB07-20
• Adobe Security Bulletin : APSB08-18
• Adobe Support Knowledgebase : kb402956
• Adobe セキュリティ情報 : APSB07-20
• Adobe セキュリティ情報 : APSB08-18

サン・マイクロシステムズ

• Sun Alert Notification : 238305
• Sun Alert Notification : 248586

レッドハット

• Red Hat Security Advisory : RHSA-2007:1126
• Red Hat Security Advisory : RHSA-2008:0945
• Red Hat Security Advisory : RHSA-2008:0980
• レッドハット セキュリティーアップデート : RHSA-2007:1126
• レッドハット セキュリティーアップデート : RHSA-2008:0945
• レッドハット セキュリティーアップデート : RHSA-2008:0980

富士通

• 富士通 セキュリティ情報 : TA07-355A

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2007-4324

1. JVN : JVNTA07-355A
2. JVN : JVNTA08-100A
3. JVN Status Tracking Notes : TRTA07-355A
4. JVN Status Tracking Notes : TRTA08-100A
5. National Vulnerability Database (NVD) : CVE-2007-4324
6. 警察庁 @police : Flash Player の脆弱性について
7. 警察庁 @police : Flash Player の脆弱性について
8. US-CERT Cyber Security Alerts : SA07-355A
9. US-CERT Cyber Security Alerts : SA08-100A
10. US-CERT Technical Cyber Security Alert : TA07-355A
11. US-CERT Technical Cyber Security Alert : TA08-100A
12. Secunia Advisory : SA28161
13. SecurityFocus : 25260
14. SecurityTracker : 1019116
15. FrSIRT Advisories : FrSIRT/ADV-2007-4258
16. FrSIRT Advisories : FrSIRT/ADV-2008-2838

• [2008年01月16日]
    掲載
  [2008年06月20日]
    影響を受けるシステム：サン・マイクロシステムズ (238305) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (238305) を追加
  [2008年11月12日]
    影響を受けるシステム：アドビシステムズ (APSB08-18) の情報を追加
    ベンダ情報：アドビシステムズ（APSB08-18）を追加
    ベンダ情報：レッドハット（RHSA-2008:0945）を追加
  [2008年12月04日]
    ベンダ情報：レッドハット (RHSA-2008:0980) を追加
  [2009年02月10日]
    ベンダ情報：サン・マイクロシステムズ (248586) を追加