【活用ガイド】

JVNDB-2010-001537

Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性

概要

Adobe Flash には、ActionScript newfunction 命令の処理に脆弱性が存在します。

Adobe Flash 9 およびそれ以降では ActionScript 3 をサポートしており、そのバイトコードは ActionScript Virtual Machine 2 (AVM2) によって実行されます。細工された AVM2 newfunction 命令によって、任意のコードが実行される可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


アップル
  • Apple Mac OS X v10.5.8
  • Apple Mac OS X v10.6 から v10.6.4
  • Apple Mac OS X Server v10.5.8
  • Apple Mac OS X Server v10.6 から v10.6.4
アドビ
  • Adobe Acrobat 9.3.2 およびそれ以前
  • Adobe AIR 1.5.3.9130 およびそれ以前
  • Adobe Flash Player 10.0.45.2 およびそれ以前
  • Adobe Flash Player 9.0.262 およびそれ以前
  • Adobe Reader 9.3.2 およびそれ以前
オラクル
  • OpenSolaris
  • Oracle Solaris 10 
レッドハット
  • Red Hat Enterprise Linux Extras 3 extras 
  • Red Hat Enterprise Linux Extras 4 extras 
  • Red Hat Enterprise Linux Extras 4.8.z extras 
  • RHEL Desktop Supplementary 5 (client) 
  • RHEL Supplementary 5 (server) 
  • RHEL Supplementary EUS 5.4.z (server) 

想定される影響

SWF コンテンツを埋め込んだ細工されたファイルを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする]
Adobe が提供する情報をもとに Flash Player、Adobe AIR、Adobe Reader および Acrobat を最新版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* ウェブブラウザで Flash を無効にする
* Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする
* ウェブブラウザ上での PDF ファイルの自動表示を無効にする
 PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。
* Adobe Reader および Acrobat で JavaScript を無効にする
* 不審な PDF ファイルを開かない
 不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
ベンダ情報

アップル
  • Apple Security Updates : HT4435
  • Apple セキュリティアップデート : HT4435
アドビ オラクル レッドハット 富士通
  • 富士通 セキュリティ情報 : TA10-159A
  • 富士通 セキュリティ情報 : TA10-162A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 境界外書き込み(CWE-787) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-1297
参考情報

  1. JVN : JVNVU#486225
  2. JVN : JVNTA10-159A
  3. JVN : JVNTA10-162A
  4. JVN : JVNVU#331391
  5. JVN Status Tracking Notes : JVNTR-2010-16
  6. National Vulnerability Database (NVD) : CVE-2010-1297
  7. JPCERT 緊急報告 : JPCERT-AT-2010-0015
  8. JPCERT 緊急報告 : JPCERT-AT-2010-0017
  9. 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
  10. US-CERT Cyber Security Alerts : SA10-159A
  11. US-CERT Cyber Security Alerts : SA10-162A
  12. US-CERT Vulnerability Note : VU#486225
  13. US-CERT Technical Cyber Security Alert : TA10-159A
  14. US-CERT Technical Cyber Security Alert : TA10-162A
  15. CISA Known Exploited Vulnerabilities Catalog : CVE-2010-1297
  16. IPA 緊急対策情報 : 20100611-adobe
  17. Secunia Advisory : SA40026
  18. Secunia Advisory : SA40034
  19. SecurityFocus : 40586
  20. ISS X-Force Database : 59137
  21. SecurityTracker : 1024058
  22. SecurityTracker : 1024057
  23. VUPEN Security : VUPEN/ADV-2010-1348
  24. VUPEN Security : VUPEN/ADV-2010-1349
  25. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 65141
更新履歴

  • [2010年06月17日]
      掲載
    [2010年07月15日]
      対策:対策の情報を更新
      ベンダ情報:アドビシステムズ (APSB10-15) を追加
      ベンダ情報:レッドハット (RHSA-2010:0503) を追加
    [2010年10月05日]
      影響を受けるシステム:オラクル (cve_2010_1297_arbitrary_code) の情報を追加
      ベンダ情報:オラクル (cve_2010_1297_arbitrary_code) を追加
    [2010年11月26日]
      影響を受けるシステム:アップル (HT4435) の情報を追加
      ベンダ情報:アップル (HT4435) を追加
  • [2024年07月04日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新
      参考情報:CISA Known Exploited Vulnerabilities Catalog (CVE-2010-1297) を追加

公表日2010/06/08
登録日2010/06/17
最終更新日2024/07/04