リリース日: 2010年11月04日

脆弱性識別番号: APSB10-26

CVE番号: CVE-2010-3636、CVE-2010-3637、CVE-2010-3638、CVE-2010-3639、 CVE-2010-3640、CVE-2010-3641、CVE-2010-3642、CVE-2010-3643、CVE-2010-3644、CVE-2010-3645、CVE-2010-3646、CVE-2010-3647、CVE-2010-3648、CVE-2010-3649、CVE-2010-3650、CVE-2010-3652、CVE-2010-3654、CVE-2010-3976

プラットフォーム: 製品によってサポートされるすべてのプラットフォーム

概要

Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 10.1.85.3(とそれ以前のバージョン)、およびAndroid 用 Adobe Flash Player 10.1.95.1 にクリティカルな脆弱性が存在することが確認されました。セキュリティ情報 APSA10-05 で述べられている、CVE-2010-3654 を含むこれらの脆弱性により、影響を受けるシステムが強制終了するか、または攻撃者に制御される可能性があります。

弊社では、Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 10.1.85.3(とそれ以前のバージョン)を使用しているユーザーに、Adobe Flash Player 10.1.102.64 へのアップデートを推奨します。Android 用 Adobe Flash Player のアップデートについては、2010年11月9日(米国時間)までの提供を予定しています。

影響を受けるソフトウェアとバージョン

  • Windows、Macintosh、Linux、および Solaris 版 Adobe Flash Player 10.1.85.3(とそれ以前のバージョン)
  • Android 用 Adobe Flash Player 10.1.95.1

システムにインストールされている Adobe Flash Player のバージョンを確認するには、弊社 Web サイトにアクセスしてください。または、実行中の Flash Player 上で右クリックし、[Adobe(または Macromedia)Flash Player について] を選択します。複数のブラウザを使用している場合は、ブラウザごとに Flash Player のバージョンを確認してください。

解決方法

弊社では Adobe Flash Player 10.1.85.3(とそれ以前のバージョン)を使用しているすべてのユーザーに、Adobe Flash Player Download Center から 最新の10.1.102.64 をダウンロードしてアップデートすることを推奨します。Windows 環境の場合は、製品の自動更新通知からメッセージが表示されるため、そこからアップデートを行うこともできます。

Flash Player 10.1.102.64 にアップデートできないユーザー向けに、弊社ではパッチが適用された Flash Player 9 を提供しています。Flash Player 9.0.289.0 はこちらからダウンロードできます。 

緊急度

アドビはこの問題をクリティカルな案件と分類し、対象ユーザーの皆様が上記の解決方法の手順に従って、該当製品に最新のアップデートを適用することを推奨します。

詳細

Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 10.1.85.3(とそれ以前のバージョン)、およびAndroid 用 Adobe Flash Player 10.1.95.1 にクリティカルな脆弱性が存在することが確認されました。セキュリティ情報 APSA10-05 で述べられている、CVE-2010-3654 を含むこれらの脆弱性により、影響を受けるシステムが強制終了するか、または攻撃者に制御される可能性があります。

このアップデートにより、コードの実行に繋がるおそれのあるメモリ破損の脆弱性が解消されます。(CVE-2010-3654)

このアップデートにより、特定のサーバーエンコーディングにおいて、クロスドメインのポリシーファイルによる制限がバイパスされる可能性のある、入力検証の問題の脆弱性が解消されます。(CVE-2010-3636)

(ActiveX のみ)このアップデートにより、コードの実行に繋がるおそれのあるメモリ破損の脆弱性が解消されます。(CVE-2010-3637)

このアップデートにより、情報の露出の脆弱性が解消されます。(Macintosh 版 Safari ブラウザーのみ)(CVE-2010-3638)

このアップデートにより、サービス拒否の脆弱性が解消されます。任意のコードを実行できる可能性がありましたが、実例は確認されていません。(CVE-2010-3639)

このアップデートにより、コードの実行に繋がるおそれのあるメモリ破損の複数の脆弱性が解消されます。

 

  • (CVE-2010-3640)
  • (CVE-2010-3641)
  • (CVE-2010-3642)
  • (CVE-2010-3643)
  • (CVE-2010-3644)
  • (CVE-2010-3645)
  • (CVE-2010-3646)
  • (CVE-2010-3647)
  • (CVE-2010-3648)
  • (CVE-2010-3649)
  • (CVE-2010-3650)
  • (CVE-2010-3652)

 

このアップデートにより、コードの実行に繋がるおそれのある、ライブラリ読み込みの脆弱性が解消されます。(CVE-2010-3976)

弊社では、Windows、Macintosh、Linux、Solaris 版 Flash Player 10.1.85.3(およびそれ以前のバージョン)を使用しているユーザーに、Flash Player 10.1.102.64 へのアップデートを推奨します。Android 版 Flash Player 10.x 用のアップデーターについては、2010 年 11 月 9 日(米国時間)までに提供する予定です。 

影響を受けるソフトウェア 推奨するアップデーターのバージョン 入手先

Flash Player 10.1.85.3 (およびそれ以前のバージョン)

10.1.102.64

Flash Player ダウンロードセンター 

Flash Player 10.1.85.3 およびそれ以前のバージョン-ネットワーク 上の配布

10.1.102.64

Adobe Flash Playerライセンス

Flash Professional CS5、Flash CS4 Professional および Flex 4

10.1.102.64

Adobe Flash Playerサポートセンター

Flash CS3 Professional および Flex 3

9.0.289.0

Adobe Flash Playerサポートセンター

謝辞

これらの脆弱性を報告し、ユーザのセキュリティ保護にご協力いただいた、以下の団体または個人に対し、アドビより厚く御礼を申し上げます。

  • Symantec Consulting Services Japan の Tokuji Akamine 氏(CVE-2010-3636)
  •  Fortinet's FortiGuard Labs の Xiaopeng Zhang 氏(CVE-2010-3637)
  • Texas A&M University の Enrik Osterholm 氏(CVE-2010-3638)
  • Smash The Stack  および Bergin Pen. Testing の Matthew Scott Bergin 氏(CVE-2010-3639)
  •  CERT の Will Dormman 氏(CVE-2010-3640, CVE-2010-3641, CVE-2010-3642, CVE-2010-3643, CVE-2010-3644, CVE-2010-3645, CVE-2010-3646, CVE-2010-3647, CVE-2010-3648, CVE-2010-3649, CVE-2010-3650, CVE-2010-3652)
  •  ACROS Security のSimon Raner 氏(CVE-2010-3976)

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー