【活用ガイド】

JVNDB-2012-005743

Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題

概要

Adobe Shockwave Player には、旧バージョンの Flash ランタイムが同梱されている問題が存在します。

Adobe Shockwave Player の Full インストーラには、旧バージョンの Flash ランタイムが同梱されています。
Adobe Shockwave Player は、別途システムにインストールされた Flash ランタイムではなく、Full インストーラでインストールされた Flash ランタイムを優先して使用します。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


アドビシステムズ
  • Adobe Shockwave Player 12.1.1.151 およびそれ以前 (Windows および Macintosh)

想定される影響

細工された Shockwave コンテンツを閲覧することで、遠隔の第三者によって、既知の脆弱性を使用した様々な攻撃を受ける可能性があります。
対策

2012年12月19日現在、対策方法はありません。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* Shockwave コンテンツへのアクセスを制限する
* Shockwave Player の ActiveX コントロールを無効にする (Internet Explorer のユーザ向け)
* Enhanced Mitigation Experience Toolkit (EMET) を適用する
   (http://support.microsoft.com/kb/2458544)
* Data Execution Prevention (DEP) を有効にする
   (http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx)
ベンダ情報

アドビシステムズ
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#93897900
  2. US-CERT Vulnerability Note : VU#323161
更新履歴

  • [2012年12月19日]
      掲載
    [2014年05月26日]
      影響を受けるシステム:内容を更新

公表日2012/12/19
登録日2012/12/19
最終更新日2014/05/26