JVNDB-2010-001537

Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性

Adobe Flash には、ActionScript newfunction 命令の処理に脆弱性が存在します。

Adobe Flash 9 およびそれ以降では ActionScript 3 をサポートしており、そのバイトコードは ActionScript Virtual Machine 2 (AVM2) によって実行されます。細工された AVM2 newfunction 命令によって、任意のコードが実行される可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6 から v10.6.4
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6 から v10.6.4

アドビシステムズ

• Adobe Acrobat 9.3.2 およびそれ以前
• Adobe AIR 1.5.3.9130 およびそれ以前
• Adobe Flash Player 10.0.45.2 およびそれ以前
• Adobe Flash Player 9.0.262 およびそれ以前
• Adobe Reader 9.3.2 およびそれ以前

オラクル

• OpenSolaris
• Oracle Solaris 10 

レッドハット

• Red Hat Enterprise Linux Extras 3 extras 
• Red Hat Enterprise Linux Extras 4 extras 
• Red Hat Enterprise Linux Extras 4.8.z extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 
• RHEL Supplementary EUS 5.4.z (server) 

SWF コンテンツを埋め込んだ細工されたファイルを閲覧することで、任意のコードを実行される可能性があります。

[アップデートする]
Adobe が提供する情報をもとに Flash Player、Adobe AIR、Adobe Reader および Acrobat を最新版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* ウェブブラウザで Flash を無効にする
* Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする
* ウェブブラウザ上での PDF ファイルの自動表示を無効にする
　PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。
* Adobe Reader および Acrobat で JavaScript を無効にする
* 不審な PDF ファイルを開かない
　不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

アップル

• Apple Security Updates : HT4435
• Apple セキュリティアップデート : HT4435

アドビシステムズ

• Adobe Security Bulletin : APSA10-01
• Adobe Security Bulletin : APSB10-14
• Adobe Security Bulletin : APSB10-15
• Adobe セキュリティ情報 : cpsid_84948
• Adobe セキュリティ情報 : cpsid_85036
• Adobe セキュリティ情報 : APSA10-01
• Adobe セキュリティ情報 : APSB10-14
• Adobe セキュリティ情報 : APSB10-15

オラクル

• SECURITY BLOG : cve_2010_1297_arbitrary_code

レッドハット

• Red Hat Security Advisory : RHSA-2010:0464
• Red Hat Security Advisory : RHSA-2010:0470
• Red Hat Security Advisory : RHSA-2010:0503

富士通

• 富士通 セキュリティ情報 : TA10-159A
• 富士通 セキュリティ情報 : TA10-162A

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2010-1297

1. JVN : JVNVU#486225
2. JVN : JVNTA10-159A
3. JVN : JVNTA10-162A
4. JVN : JVNVU#331391
5. JVN Status Tracking Notes : JVNTR-2010-16
6. National Vulnerability Database (NVD) : CVE-2010-1297
7. JPCERT 緊急報告 : JPCERT-AT-2010-0015
8. JPCERT 緊急報告 : JPCERT-AT-2010-0017
9. 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
10. US-CERT Cyber Security Alerts : SA10-159A
11. US-CERT Cyber Security Alerts : SA10-162A
12. US-CERT Vulnerability Note : VU#486225
13. US-CERT Technical Cyber Security Alert : TA10-159A
14. US-CERT Technical Cyber Security Alert : TA10-162A
15. IPA 緊急対策情報 : 20100611-adobe
16. Secunia Advisory : SA40026
17. Secunia Advisory : SA40034
18. SecurityFocus : 40586
19. ISS X-Force Database : 59137
20. SecurityTracker : 1024058
21. SecurityTracker : 1024057
22. VUPEN Security : VUPEN/ADV-2010-1348
23. VUPEN Security : VUPEN/ADV-2010-1349
24. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 65141

• [2010年06月17日]
    掲載
  [2010年07月15日]
    対策：対策の情報を更新
    ベンダ情報：アドビシステムズ (APSB10-15) を追加
    ベンダ情報：レッドハット (RHSA-2010:0503) を追加
  [2010年10月05日]
    影響を受けるシステム：オラクル (cve_2010_1297_arbitrary_code) の情報を追加
    ベンダ情報：オラクル (cve_2010_1297_arbitrary_code) を追加
  [2010年11月26日]
    影響を受けるシステム：アップル (HT4435) の情報を追加
    ベンダ情報：アップル (HT4435) を追加