JVNDB-2016-003167

JVNDB-2016-003167
Adobe Flash Player にメモリ破損の脆弱性
概要
Adobe Flash Player には、遠隔の第三者が任意のコードを実行可能な脆弱性が存在します。なお、本脆弱性を使用した攻撃活動が確認されています。詳しくは、APSA16-03 および APSB16-18 をご確認ください。 APSA16-03 https://helpx.adobe.com/jp/security/products/flash-player/apsa16-03.html APSB16-18 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-18.html
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 6.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): 低 CVSS v2 による深刻度基本値: 7.5 (危険) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Google Google Chrome アドビシステムズ Adobe Flash Player 11.2.202.626 未満 (Linux) Adobe Flash Player 22.0.0.192 未満 (Windows 10/8.1 版の Microsoft Edge/Internet Explorer 11) Adobe Flash Player 22.0.0.192 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome) Adobe Flash Player デスクトップランタイム 22.0.0.192 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 18.0.0.360 未満 (Windows/Macintosh) マイクロソフト Microsoft Windows 10 Version 1511 for 32-bit Systems Microsoft Windows 10 Version 1511 for x64-based Systems Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows RT 8.1 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 レッドハット Red Hat Enterprise Linux Desktop 5 i386 Red Hat Enterprise Linux Desktop 5 x86_64 Red Hat Enterprise Linux Desktop 6 i386 Red Hat Enterprise Linux Desktop 6 x86_64 Red Hat Enterprise Linux Server 5 i386 Red Hat Enterprise Linux Server 5 x86_64 Red Hat Enterprise Linux Server 6 i386 Red Hat Enterprise Linux Server 6 x86_64 Red Hat Enterprise Linux Workstation 5 i386 Red Hat Enterprise Linux Workstation 5 x86_64 Red Hat Enterprise Linux Workstation 6 i386 Red Hat Enterprise Linux Workstation 6 x86_64

想定される影響
細工された SWF コンテンツを含むウェブページや HTML ドキュメント、PDF ファイル、Microsoft Office ドキュメントなどを開くことで、任意のコードを実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性は次のバージョンで修正されています。　　* Adobe Flash Player 22.0.0.192 (Windows 版、Macintosh 版、Chrome OS 版) 　　* Adobe Flash Player Extended Support Release 18.0.0.360 (Windows 版、Macintosh 版) 　　* Adobe Flash Player 11.2.202.626 (Linux 版) 詳しくは、APSB16-18 をご確認ください。 APSB16-18 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-18.html [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　* ウェブブラウザの Flash を無効にする　　開発者は様々なウェブブラウザにおける Flash の設定方法を解説しています。ウェブブラウザの設定により、Flash を無効にしたり、クリックした場合のみ実行されるよう設定することが可能です。　　　様々なウェブブラウザにおける Flash の設定方法　　https://helpx.adobe.com/jp/flash-player.html 　　　　クリックした場合のみ実行されるよう設定する　　http://www.howtogeek.com/188059/how-to-enable-click-to-play-plugins-in-every-web-browser/ 　　* Flash Player をアンインストールする　　開発者は Windows 版および Macintosh 版で Flash Player をアンインストールする方法を解説しています。　　　　Windows 版　　https://helpx.adobe.com/jp/flash-player/kb/uninstall-flash-player-windows.html 　　　　Macintosh 版　　https://helpx.adobe.com/jp/flash-player/kb/uninstall-flash-player-mac-os.html
ベンダ情報
Google Google : Chrome Releases Google : Google Chrome Google : Google Chrome を更新するアドビシステムズ Adobe Security Bulletin : APSA16-03 Adobe Security Bulletin : APSB16-18 Adobe セキュリティ情報 : APSA16-03 Adobe セキュリティ情報 : APSB16-18 Flash Player ヘルプ : 5 つのステップで Flash Player を簡単インストール Flash Player ヘルプ : Flash Player のアンインストール \| Mac OS Flash Player ヘルプ : Flash Player のアンインストール \| Windows マイクロソフト Microsoft Security Advisory : MS16-083 マイクロソフトセキュリティアドバイザリ : MS16-083 レッドハット Red Hat Security Advisory : RHSA-2016:1238 富士通富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-4171
参考情報
JVN : JVNVU#99609116 National Vulnerability Database (NVD) : CVE-2016-4171 IPA 重要なセキュリティ情報 : Adobe Flash Player の脆弱性対策について(APSA16-03)(CVE-2016-4171) JPCERT 注意喚起 : JPCERT-AT-2016-0026 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2016年06月17日) US-CERT Vulnerability Note : VU#748992 関連文書 : How to Enable Click-to-Play Plugins in Every Web Browser
更新履歴
[2016年06月16日] 掲載 [2016年06月20日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アドビシステムズ (APSB16-18) を追加ベンダ情報：マイクロソフト (MS16-083) を追加ベンダ情報：Google (Chrome Releases) を追加ベンダ情報：Google (Google Chrome) を追加ベンダ情報：Google (Google Chrome を更新する) を追加ベンダ情報：富士通 (アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ) を追加対策：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2016-4171) を追加参考情報：警察庁 (アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2016年06月17日)) を追加参考情報：JPCERT 注意喚起 (JPCERT-AT-2016-0026) を追加 CWE による脆弱性タイプ一覧：CWE-ID を追加 [2016年08月30日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：レッドハット (RHSA-2016:1238) を追加


公表日	2016/06/15
登録日	2016/06/16
最終更新日	2016/08/30

Adobe Flash Player にメモリ破損の脆弱性