Flash Player に関するセキュリティ情報 | APSA18-01
情報 ID 公開日 優先度
APSA18-01 2018 年 2 月 1 日 1

要約

Adobe Flash Player 28.0.0.137 とそれ以前のバージョンに重大な脆弱性(CVE-2018-4878)が存在します。この脆弱性が悪用されると、場合によっては対象システムが攻撃者に乗っ取られたりするおそれがあります。

弊社では、CVE-2018-4878 がすでにWindows ユーザーを対象とする限定的な標的型攻撃に使用されているという報告を認識しています。これらの攻撃は、電子メールを介して配布する悪質な Flash コンテンツが埋め込まれた Office 文書を悪用します。

アドビでは 2 月 5 日の週に予定のリリースでこの脆弱性に対処します。

お客様は、アドビ製品セキュリティインシデントレスポンスチームのブログから最新情報をご確認いただけます。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 28.0.0.137 とそれ以前のバージョン Windows、Macintosh
Google Chrome 用の Adobe Flash Player 28.0.0.137 とそれ以前のバージョン Windows、Macintosh、Linux および Chrome OS
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.137 とそれ以前のバージョン Windows 10 および 8.1
Adobe Flash Player デスクトップランタイム 28.0.0.137 とそれ以前のバージョン Linux

ご利用中のシステムにインストールされている Adobe Flash Player のバージョンを確認するには、Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツを右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。

リスク軽減策

Flash Player 27 からは、Windows 7 以前の Internet Explorer で SWF コンテンツを再生する前にユーザーに選択を促すように Flash Player の動作を変更する管理者向け機能が導入されます。詳しくは、この管理ガイドを閲覧してください。

また、管理者は、Office の保護されたビューの実装も検討できます。保護されたビューでは、安全でない可能性があるとマークされたファイルを読み取り専用モードで開きます。

脆弱性の詳細

脆弱性のカテゴリー 脆弱性の影響 重大度 CVE 番号
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2018-4878

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた KrCERT/CC に対し、アドビより厚く御礼を申し上げます。