Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2014 年 9 月 9 日

脆弱性識別番号: APSB14-21

優先度:以下の表を参照してください

CVE 番号:CVE-2014-0547、CVE-2014-0548、CVE-2014-0549、CVE-2014-0550、CVE-2014-0551、CVE-2014-0552、CVE-2014-0553、CVE-2014-0554、CVE-2014-0555、CVE-2014-0556、CVE-2014-0557、CVE-2014-0559

プラットフォーム:全プラットフォーム

概要

Windows 版、Macintosh 版、Linux 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Player 15.0.0.152へのアップデートを推奨します。
  • Adobe Flash Playerの継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.244へのアップデートを推奨します。
  • Linux版のAdobe Flash Playerをご利用のお客様には、Adobe Flash Player 11.2.202.406へのアップデートを推奨します。
  • Google Chrome、Internet Explorer 10およびInternet Explorer 11にインストールされたAdobe Flash Playerは、自動的に最新バージョンにアップデートされます。
  • Adobe AIRデスクトップランタイム、SDKおよびSDK & Compilerをご利用のお客様には、バージョン15.0.0.249へのアップデートを推奨します。
  • Android版のAdobe AIRをご利用のお客様には、Adobe AIR 15.0.0.252へのアップデートを推奨します。

対象ソフトウェアバージョン

  • Adobe Flash Player 14.0.0.179とそれ以前のバージョン
  • Adobe Flash Player 13.0.0.241とそれ以前の13.xバージョン
  • Linux版のAdobe Flash Player 11.2.202.400とそれ以前のバージョン
  • Adobe AIRデスクトップランタイム14.0.0.178とそれ以前のバージョン
  • Adobe AIR SDK14.0.0.178とそれ以前のバージョン
  • Adobe AIR SDK & Compiler14.0.0.178とそれ以前のバージョン
  • Android用のAdobe AIR 14.0.0.179とそれ以前のバージョン

ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。

ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

解決策

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Playerダウンロードセンターから、またはメッセージが表示された時点で製品内のアップデートメカニズムを使用して、バージョン15.0.0.152へのアップデートを推奨します。
  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 13.0.0.244 をダウンロードしてアップデートすることを推奨します。
  • Linux版のAdobe Flash Playerをご利用のお客様には、Adobe Flash PlayerダウンロードセンターからAdobe Flash Player 11.2.202.406をダウンロードしてアップデートすることを推奨します。
  • Google ChromeにインストールされたAdobe Flash Playerは、バージョン15.0.0.152に自動的にアップデートされます。
  • Internet Explorer 10およびInternet Explorer 11にインストールされたAdobe Flash Playerは、バージョン15.0.0.152に自動的にアップデートされます。
  • Adobe AIRデスクトップランタイムをご利用のお客様には、Adobe AIRダウンロードセンターからバージョン15.0.0.249をダウンロードしてアップデートすることを推奨します。
  • Adobe AIR SDKをご利用のお客様には、Adobe AIRダウンロードセンターからバージョン15.0.0.249をダウンロードしてアップデートすることを推奨します。
  • Adobe AIR SDK & Compilerをご利用のお客様には、Adobe AIRダウンロードセンターからバージョン15.0.0.249をダウンロードしてアップデートすることを推奨します。
  • Android版Adobe AIRをご利用のお客様には、Google Playストアから新しいバージョンのAdobe AIR 15.0.0.252をダウンロードしてアップデートすることを推奨します。

優先度と緊急度の評価

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 対象のバージョン プラットフォーム 優先度評価
Adobe Flash Player デスクトップランタイム 14.0.0.179 以前
Windows および Macintosh
1
Adobe Flash Player 継続サポートリリース 13.0.0.241 以前 Windows および Macintosh
1
Google Chrome 用の Adobe Flash Player  14.0.0.177 以前 Windows、Macintosh および Linux
1
Internet Explorer 10およびInternet Explorer 11用のAdobe Flash Player 14.0.0.176 以前 Windows 8.0版のInternet Explorer 10 1
Adobe Flash Player 11.2.202.400 Linux 3
       
Adobe AIR デスクトップランタイム 14.0.0.178 Windows および Macintosh 3
Adobe AIR SDK 14.0.0.178 Windows、MacintoshおよびiOS
3
Adobe AIR SDK 14.0.0.179
Android 3
Adobe AIR SDK & Compiler 14.0.0.178
Windows、Macintosh、AndroidおよびiOS
3

これらのアップデートは、ソフトウェアのクリティカルな脆弱性に対処します。

詳細

Windows版、Macintosh版、Linux版のAdobe Flash Playerを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Player 15.0.0.152へのアップデートを推奨します。
  • Adobe Flash Playerの継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.244へのアップデートを推奨します。
  • Linux版のAdobe Flash Playerをご利用のお客様には、Adobe Flash Player 11.2.202.406へのアップデートを推奨します。
  • Google Chrome、Internet Explorer 10およびInternet Explorer 11にインストールされたAdobe Flash Playerは、自動的に最新バージョンにアップデートされます。
  • Adobe AIRデスクトップランタイム、SDKおよびSDK & Compilerをご利用のお客様には、バージョン15.0.0.249へのアップデートを推奨します。
  • Android版のAdobe AIRをご利用のお客様には、Adobe AIR 15.0.0.252へのアップデートを推奨します。

このアップデートは、メモリアドレスのランダム化をバイパスするのに使用されるおそれがあるメモリリークの脆弱性を解消します(CVE-2014-0557)。

このアップデートは、セキュリティバイパスの脆弱性を解消します(CVE-2014-0554)。

これらのアップデートは、コード実行の原因になりかねないUser-After-Free(解放したメモリの使用)の脆弱性を解消します(CVE-2014-0553)。

これらのアップデートは、コード実行の原因になりかねないメモリ破損の脆弱性を解消します(CVE-2014-0547、CVE-2014-0549、CVE-2014-0550、CVE-2014-0551、CVE-2014-0552、CVE-2014-0555)。

これらのアップデートにより、同じ起源のポリシーをバイパスするおそれのある脆弱性が解消されます(CVE-2014-0548)。

これらのアップデートは、コード実行の原因になりかねないヒープベースのバッファオーバーフローの脆弱性を解消します(CVE-2014-0556、CVE-2014-0559)。

対象製品   推奨されるアップデート 入手方法
Flash Player デスクトップランタイム
  15.0.0.152

Flash Player ダウンロードセンター

Flash Playerの配布

Flash Player 継続サポートリリース   13.0.0.244 継続サポート
Linux 向け Flash Player   11.2.202.406 Flash Player ダウンロードセンター
Google Chrome 用の Flash Player   15.0.0.152
Google Chrome リリース
Internet Explorer 10 および Internet Explorer 11 用の Flash Player   15.0.0.152
Microsoft セキュリティアドバイザリ
AIR デスクトップランタイム   15.0.0.249 AIR ダウンロードセンター
AIR SDK   15.0.0.249
AIR SDK ダウンロード
AIR SDK & Compiler   15.0.0.249
AIR SDK ダウンロード
Android版AIR   15.0.0.252
Google Play

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Google Project ZeroのChris Evans氏(CVE-2014-0547、CVE-2014-0549、CVE-2014-0550、CVE-2014-0551、CVE-2014-0552、CVE-2014-0555、CVE-2014-0556)
  • Google Project ZeroのChris Evans氏およびGoogle Security TeamのMichal Zalewski氏(CVE-2014-0557)
  • Masato Kinugawa氏(CVE-2014-0548)
  • Venustech ADLABのLiu Jincheng氏とWen Guanxing氏(CVE-2014-0553)
  • Bas Venis氏とMasato Kinugawa氏(CVE-2014-0554)
  • Trend MicroのLucas Leong氏(CVE-2014-0559)