【活用ガイド】

JVNDB-2009-001941

Adobe Flash に脆弱性

概要

Adobe Flash には任意のコードが実行可能な脆弱性が存在します。

Adobe Flash Player およびその他 Flash をサポートしている Adobe 製品には、細工された Flash (SWF) ファイルを閲覧することで任意のコードを実行される脆弱性があります。この SWF ファイルはウェブページ内に埋め込まれていたり、Portable Document Format (PDF) ファイル内に存在することもあります。

また、Adobe によると Flash サポートが搭載されている他の Adobe 製品も影響を受ける可能性があります。詳しくは Adobe が提供する情報をご確認ください。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


アップル
  • Apple Mac OS X v10.4.11
  • Apple Mac OS X v10.5.8
  • Apple Mac OS X v10.6
  • Apple Mac OS X Server v10.4.11
  • Apple Mac OS X Server v10.5.8
  • Apple Mac OS X Server v10.6
アドビシステムズ
  • Adobe Acrobat 9.1.2 およびそれ以前
  • Adobe Flash Player 9.0.159.0 およびそれ以前
  • Adobe Flash Player 10.0.22.87 およびそれ以前
  • Adobe Reader 9.1.2 およびそれ以前
サン・マイクロシステムズ
  • OpenSolaris (sparc) 
  • OpenSolaris (x86) 
  • Sun Solaris 10 (sparc) 
  • Sun Solaris 10 (x86) 
レッドハット
  • Red Hat Enterprise Linux Extras 3 extras 
  • Red Hat Enterprise Linux Extras 4 extras 
  • Red Hat Enterprise Linux Extras 4.8.z extras 
  • RHEL Desktop Supplementary 5 (client) 
  • RHEL Supplementary 5 (server) 
  • RHEL Supplementary EUS 5.3.z (server) 

想定される影響

細工された HTML ドキュメントまたは PDF ファイルをユーザが閲覧した場合、任意のコードを実行される可能性があります。
対策

[アップデートする]
Adobe が提供する情報をもとに Adobe Flash Player を最新版にアップデートしてください。

Adobe Reader および Acrobat の対策版 v.9.1.3 が 2009年7月31日 (米国時間) に公開されました。

詳しくは、VU#259425 および Adobe が提供する情報をご確認ください。
ベンダ情報

アップル
  • Apple Security Updates : HT3865
  • Apple Security Updates : HT3864
  • Apple セキュリティアップデート : HT3865
  • Apple セキュリティアップデート : HT3864
アドビシステムズ サン・マイクロシステムズ
  • Sun Alert Notification : 266108
レッドハット 富士通
  • 富士通 セキュリティ情報 : TA09-204A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. コード・インジェクション(CWE-94) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-1862
参考情報

  1. JVN : JVNVU#259425
  2. JVN : JVNTA09-204A
  3. JVN Status Tracking Notes : JVNTR-2009-18
  4. National Vulnerability Database (NVD) : CVE-2009-1862
  5. IPA 重要なセキュリティ情報 : 20090803-adobe
  6. JPCERT 緊急報告 : JPCERT-AT-2009-0015
  7. 警察庁 @police : アドビシステムズ社の Adobe Flash Player、Adobe Reader および Acrobat のセキュリティ修正プログラムについて
  8. US-CERT Vulnerability Note : VU#259425
  9. US-CERT Technical Cyber Security Alert : TA09-204A
  10. SecurityFocus : 35759
  11. VUPEN Security : VUPEN/ADV-2009-1986
  12. VUPEN Security : VUPEN/ADV-2009-2086
  13. The SANS Institute Diary : 6847
更新履歴

  • [2009年08月27日]
      掲載
    [2009年10月02日]
      影響を受けるシステム:アップル (HT3865) の情報を追加
      影響を受けるシステム:アップル (HT3864) の情報を追加
      ベンダ情報:アップル (HT3865) を追加
      ベンダ情報:アップル (HT3864) を追加