JVNDB-2010-002313

Adobe Flash に脆弱性

Adobe Flash には、任意のコードが実行される脆弱性が存在します。

Adobe Flash には、メモリ破損の脆弱性が存在し、任意のコードが実行される可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6 から v10.6.4
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6 から v10.6.4

アドビシステムズ

• Adobe Acrobat 9.4 およびそれ以前の Windows 版、Macintosh 版
• Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、Macintosh 版、Linux 版、Solaris 版
• Adobe Flash Player Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版
• Adobe Reader 9.4 およびそれ以前の Windows 版、Macintosh 版、UNIX 版

オラクル

• Oracle Solaris 10 
• Oracle Solaris 11 Express

ターボリナックス

• Turbolinux Client 2008 

レッドハット

• Red Hat Enterprise Linux Extras 4 extras 
• Red Hat Enterprise Linux Extras 4.8.z extras 
• Red Hat Enterprise Linux Server Supplementary 6 
• Red Hat Enterprise Linux Workstation Supplementary 6 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Desktop Supplementary 6 
• RHEL Supplementary 5 (server) 

細工された Flash コンテンツが埋め込まれたドキュメントを閲覧することで、任意のコードを実行される可能性があります。

[アップデートする]
Adobe が提供する情報をもとにアップデートしてください。

なお、Adobe によると 2010年11月9日までに Android 版 のアップデートが提供される予定です。
また、Adobe Reader および Acrobat のアップデートは、2010年11月15日の週に提供される予定です。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* ウェブブラウザで Flash を無効にする
* Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする
* ウェブブラウザ上での PDF ファイルの自動表示を無効にする
　PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。
* Adobe Reader および Acrobat で JavaScript を無効にする
* 不審な PDF ファイルを開かない
　不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

アップル

• Apple Security Updates : HT4435
• Apple セキュリティアップデート : HT4435

アドビシステムズ

• Adobe Security advisory : APSA10-05
• Adobe Security Bulletin : APSB10-26
• Adobe Security Bulletin : APSB10-28
• Adobe セキュリティ情報 : cpsid_87720
• Adobe セキュリティ情報 : cpsid_87813
• Adobe セキュリティ情報 : cpsid_88012
• Adobe セキュリティ情報 : APSA10-05
• Adobe セキュリティ情報 : APSB10-28

オラクル

• SECURITY BLOG : multiple_vulnerabilities_in_adobe_flash1

ターボリナックス

• Turbolinux Security Advisory : TLSA-2011-2

レッドハット

• Red Hat Security Advisory : RHSA-2010:0829
• Red Hat Security Advisory : RHSA-2010:0834
• Red Hat Security Advisory : RHSA-2010:0867
• Red Hat Security Advisory : RHSA-2010:0934

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2010-3654

1. JVN : JVNVU#298081
2. JVN : JVNVU#331391
3. National Vulnerability Database (NVD) : CVE-2010-3654
4. JPCERT 緊急報告 : JPCERT-AT-2010-0029
5. 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
6. US-CERT Vulnerability Note : VU#298081
7. IPA 緊急対策情報 : 20101105-adobe
8. Secunia Advisory : SA41917
9. Secunia Advisory : SA42030
10. SecurityFocus : 44504
11. VUPEN Security : VUPEN/ADV-2010-2810
12. VUPEN Security : VUPEN/ADV-2010-2811
13. VUPEN Security : VUPEN/ADV-2010-2903

• [2010年11月17日]
    掲載
  [2010年12月08日]
    ベンダ情報：アドビシステムズ (cpsid_88012) を追加
    ベンダ情報：アドビシステムズ (APSA10-05) を追加
    ベンダ情報：アドビシステムズ (APSB10-28) を追加
    ベンダ情報：レッドハット (RHSA-2010:0934) を追加
  [2011年02月02日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_adobe_flash1) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_adobe_flash1) を追加
  [2011年02月25日]
    影響を受けるシステム：ターボリナックス (TLSA-2011-2) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2011-2) を追加