JVNDB-2013-001829

Windows 上で稼働する Adobe Flash Player における任意のコードを実行される脆弱性

Windows 上で稼働する Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。

本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。

アドビ

• Adobe AIR 3.7.0.1530 未満 (Windows、Macintosh、および Android)
• Adobe AIR SDK (SDK & Compiler) 3.7.0.1530 未満
• Adobe Flash Player 11.1.111.50 未満 (Android 2.x および 3.x)
• Adobe Flash Player 11.1.115.54 未満 (Android 4.x)
• Adobe Flash Player 11.2.202.280 未満 (Linux)
• Adobe Flash Player 11.7.700.169 未満 (Windows および Macintosh)

第三者により、オーバーフローを利用されることで、任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

openSUSE project

• opensuse-security-announce : openSUSE-SU-2013:0675
• opensuse-security-announce : SUSE-SU-2013:0670
• opensuse-updates : openSUSE-SU-2013:0672

アドビ

• Adobe Security Bulletin : APSB13-11
• Adobe セキュリティ情報 : APSB13-11 (cq04091730)
• アドビシステムズ サポート : Adobe Flash Player - ダウンロード

レッドハット

• Red Hat Security Advisory : RHSA-2013:0730

富士通

• 富士通 セキュリティ情報 : アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ

1. 整数オーバーフローまたはラップアラウンド(CWE-190) [NVD評価]

1. CVE-2013-2555

1. National Vulnerability Database (NVD) : CVE-2013-2555
2. IPA 重要なセキュリティ情報 : Adobe Flash Player の脆弱性対策について(APSB13-11)(CVE-2013-1378等)
3. JPCERT 注意喚起 : JPCERT-AT-2013-0020
4. 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
5. 関連文書 : Pwn2Own 2013

• [2013年03月15日]
    掲載
  [2013年03月19日]
    CVSS による深刻度：基本値と脆弱性評価基準を追加
    CWE による脆弱性タイプ一覧：CWE-ID を追加
  [2013年04月11日]
    影響を受けるシステム：APSB13-11 記載のバージョン情報に変更
    ベンダ情報：APSB13-11 の情報に修正
  [2013年04月15日]
    ベンダ情報：富士通 (アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ) を追加
  [2013年05月21日]
    ベンダ情報：レッドハット (RHSA-2013:0730) を追加
    ベンダ情報：openSUSE(openSUSE-SU-2013:0672) を追加
    ベンダ情報：openSUSE(openSUSE-SU-2013:0675) を追加
    ベンダ情報：openSUSE(SUSE-SU-2013:0670) を追加
  [2013年10月24日]
    CWE による脆弱性タイプ一覧：内容を更新