JVNDB-2007-001090

Adobe Flash Player における SWF ファイルの取り扱いに関する複数のクロスサイトスクリプティングの脆弱性

Adobe Flash Player には、SWF ファイルの取り扱いに不備があり、複数のクロスサイトスクリプティングの脆弱性が存在します。
なお、本問題の一つは、CVE-2007-6244 の asfunction() 関数の問題です。

アップル

• Apple Mac OS X v10.5.3 未満
• Apple Mac OS X Server v10.5.3 未満 

アドビシステムズ

• Adobe Connect Enterprise Server 6
• Adobe Contribute CS3
• Adobe Contribute 4
• Adobe Dreamweaver CS3
• Adobe Dreamweaver 8
• Adobe Flash Player 7.0.70.0 およびそれ以前
• Adobe Flash Player 9.0.115.0 およびそれ以前
• Adobe Flash Player 8.0.39.0 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux FUJI
• wizpy

レッドハット

• Red Hat Enterprise Linux Extras 3 extras 
• Red Hat Enterprise Linux Extras 4 extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 

第三者により、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

ベンダ情報及び参考情報を参照して適切な対策を実施してください。

アップル

• Apple Security Updates : Security Update 2008-003
• Apple セキュリティアップデート : Security Update 2008-003

アドビシステムズ

• Adobe Security advisory : APSA07-06
• Adobe Security Bulletin : APSB08-01
• Adobe Security Bulletin : APSB08-02
• Adobe Security Bulletin : APSB08-11
• Adobe セキュリティ情報 : APSA07-06
• Adobe セキュリティ情報 : APSB08-01
• Adobe セキュリティ情報 : APSB08-02

サン・マイクロシステムズ

• Sun Alert Notification : 238305

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2008-16
• 製品セキュリティ情報 : TLSA-2008-16

レッドハット

• Red Hat Security Advisory : RHSA-2008:0221
• レッドハット セキュリティーアップデート : RHSA-2008:0221

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2007-6637

1. JVN : JVNTA08-100A
2. JVN : JVNTA08-150A
3. JVN Status Tracking Notes : TRTA08-100A
4. JVN Status Tracking Notes : TRTA08-150A
5. National Vulnerability Database (NVD) : CVE-2007-6637
6. 警察庁 @police : Flash Player の脆弱性について
7. US-CERT Cyber Security Alerts : SA08-100A 
8. US-CERT Cyber Security Alerts : TA08-150A
9. US-CERT Cyber Security Alerts : SA08-150A
10. US-CERT Vulnerability Note : VU#249337
11. US-CERT Vulnerability Note : VU#159523
12. US-CERT Technical Cyber Security Alert : TA08-100A 
13. Secunia Advisory : SA28083
14. SecurityFocus : 27034
15. SecurityTracker : 1019141
16. FrSIRT Advisories : FrSIRT/ADV-2008-1158

• [2008年01月30日]
    掲載
  [2008年04月11日]
    影響を受けるシステム：アドビシステムズ (APSB08-11) の情報追加。
    影響を受けるシステム：レッドハット (RHSA-2008:0221) の情報追加。
    ベンダ情報：アドビシステムズ (APSB08-11) 追加。
    ベンダ情報：レッドハット (RHSA-2008:0221) 追加。
  [2008年05月12日]
    影響を受けるシステム：ターボリナックス (TLSA-2008-16) の情報追加。
    ベンダ情報: ターボリナックス (TLSA-2008-16) 追加。
  [2008年06月18日]
    影響を受けるシステム：アップル(Security Update 2008-003) の情報を追加
    影響を受けるシステム：サン・マイクロシステムズ(238305) の情報を追加
    ベンダ情報：アップル(Security Update 2008-003) を追加
    ベンダ情報：サン・マイクロシステムズ(238305) を追加