【活用ガイド】

JVNDB-2010-001537

Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性

概要

Adobe Flash には、ActionScript newfunction 命令の処理に脆弱性が存在します。

Adobe Flash 9 およびそれ以降では ActionScript 3 をサポートしており、そのバイトコードは ActionScript Virtual Machine 2 (AVM2) によって実行されます。細工された AVM2 newfunction 命令によって、任意のコードが実行される可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。
CVSS による深刻度 (CVSS とは?)

基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


アップル
  • Apple Mac OS X v10.5.8
  • Apple Mac OS X v10.6 から v10.6.4
  • Apple Mac OS X Server v10.5.8
  • Apple Mac OS X Server v10.6 から v10.6.4
アドビシステムズ
  • Adobe Acrobat 9.3.2 およびそれ以前
  • Adobe AIR 1.5.3.9130 およびそれ以前
  • Adobe Flash Player 10.0.45.2 およびそれ以前
  • Adobe Flash Player 9.0.262 およびそれ以前
  • Adobe Reader 9.3.2 およびそれ以前
オラクル
  • OpenSolaris
  • Oracle Solaris 10
レッドハット
  • Red Hat Enterprise Linux Extras (v.3)
  • Red Hat Enterprise Linux Extras (v.4)
  • Red Hat Enterprise Linux Extras (v.4.8.z) 
  • RHEL Desktop Supplementary (v. 5 client)
  • RHEL Supplementary (v.5 server)
  • RHEL Supplementary EUS (v. 5.4.z server)

想定される影響

SWF コンテンツを埋め込んだ細工されたファイルを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする]
Adobe が提供する情報をもとに Flash Player、Adobe AIR、Adobe Reader および Acrobat を最新版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* ウェブブラウザで Flash を無効にする
* Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする
* ウェブブラウザ上での PDF ファイルの自動表示を無効にする
 PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。
* Adobe Reader および Acrobat で JavaScript を無効にする
* 不審な PDF ファイルを開かない
 不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
ベンダ情報

アップル
  • Apple Security Updates : HT4435
  • Apple セキュリティアップデート : HT4435
アドビシステムズ オラクル レッドハット 富士通
  • 富士通 セキュリティ情報 : TA10-159A
  • 富士通 セキュリティ情報 : TA10-162A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-1297
参考情報

  1. JVN : JVNVU#486225
  2. JVN : JVNTA10-159A
  3. JVN : JVNTA10-162A
  4. JVN : JVNVU#331391
  5. JVN Status Tracking Notes : JVNTR-2010-16
  6. National Vulnerability Database (NVD) : CVE-2010-1297
  7. JPCERT 緊急報告 : JPCERT-AT-2010-0015
  8. JPCERT 緊急報告 : JPCERT-AT-2010-0017
  9. 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
  10. US-CERT Cyber Security Alerts : SA10-159A
  11. US-CERT Cyber Security Alerts : SA10-162A
  12. US-CERT Vulnerability Note : VU#486225
  13. US-CERT Technical Cyber Security Alert : TA10-159A
  14. US-CERT Technical Cyber Security Alert : TA10-162A
  15. IPA 緊急対策情報 : 20100611-adobe
  16. Secunia Advisory : SA40026
  17. Secunia Advisory : SA40034
  18. SecurityFocus : 40586
  19. ISS X-Force Database : 59137
  20. SecurityTracker : 1024058
  21. SecurityTracker : 1024057
  22. VUPEN Security : VUPEN/ADV-2010-1348
  23. VUPEN Security : VUPEN/ADV-2010-1349
  24. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 65141
更新履歴

[2010年06月17日]
  掲載
[2010年07月15日]
  対策:対策の情報を更新
  ベンダ情報:アドビシステムズ (APSB10-15) を追加
  ベンダ情報:レッドハット (RHSA-2010:0503) を追加
[2010年10月05日]
  影響を受けるシステム:オラクル (cve_2010_1297_arbitrary_code) の情報を追加
  ベンダ情報:オラクル (cve_2010_1297_arbitrary_code) を追加
[2010年11月26日]
  影響を受けるシステム:アップル (HT4435) の情報を追加
  ベンダ情報:アップル (HT4435) を追加