リリース日: 2014 年 12 月 9 日
脆弱性識別番号: APSB14-27
優先度:以下の表を参照してください
CVE番号: CVE-2014-0580、CVE-2014-0587、CVE-2014-8443、CVE-2014-9162、CVE-2014-9163、CVE-2014-9164
プラットフォーム:全プラットフォーム
Windows版、Macintosh版、Linux版のAdobe Flash Playerを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。
アドビは、CVE-2014-9163が悪用されていることを報告するレポートを認識しており、対象製品をインストールしたお客様に最新バージョンへのアップグレードを推奨します。
- Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Player 16.0.0.235へのアップデートを推奨します。
- Adobe Flash Playerの継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.259へのアップデートを推奨します。
- Linux版Adobe Flash Playerをご利用のお客様には、Adobe Flash Player 11.2.202.425へのアップデートを推奨します。
- Google ChromeとともにインストールされたAdobe Flash Playerについては、Windows 8.xのInternet Explorerと同様に、最新バージョンへのアップデートが自動的に行われます。
注意:バージョン15.0.0.246にアップデートされたユーザーの皆様は、CVE-2014-9163による影響はありません。
- Adobe Flash Player 15.0.0.242とそれ以前のバージョン
- Adobe Flash Player 13.0.0.258とそれ以前の13.xバージョン
- Linux版のAdobe Flash Player 11.2.202.424とそれ以前のバージョン
ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。
ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。
- Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Playerダウンロードセンターから、またはメッセージが表示された時点で製品内のアップデートメカニズムを使用して、Adobe Flash Player 16.0.0.235へのアップデートを推奨します。
- Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 13.0.0.259 をダウンロードしてアップデートすることを推奨します。
- Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.425 をダウンロードしアップデートすることを推奨します。
- Google ChromeとともにインストールされたAdobe Flash Playerについては、Adobe Flash Player 16.0.0.235を含む最新バージョンのGoogle Chromeへのアップデートが自動的に行われます。
- Windows 8.x 用の Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 16.0.0.235 を含む最新バージョンの Internet Explorer へのアップデートが自動的に行われます。
アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
製品名 | 対象のバージョン | プラットフォーム | 優先度評価 |
---|---|---|---|
Adobe Flash Player デスクトップランタイム | 15.0.0.239 以前 |
Windows および Macintosh |
1 |
Adobe Flash Player 継続サポートリリース | 13.0.0.258 以前 | Windows および Macintosh |
1 |
Google Chrome 用の Adobe Flash Player | 15.0.0.239以前(Windows) 15.0.0.242以前(Macintosh) |
Windows、Macintosh および Linux |
1 |
Internet Explorer 10およびInternet Explorer 11用のAdobe Flash Player | 15.0.0.239 以前 | Windows 8.0 および 8.1 | 1 |
Adobe Flash Player | 11.2.202.424 以前 | Linux | 3 |
これらのアップデートは、ソフトウェアのクリティカルな脆弱性に対処します。
Windows版、Macintosh版、Linux版のAdobe Flash Playerを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。
- Windows版およびMacintosh版のAdobe Flash Playerデスクトップランタイムをご利用のお客様には、Adobe Flash Player 16.0.0.235へのアップデートを推奨します。
- Adobe Flash Playerの継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.259へのアップデートを推奨します。
- Linux版Adobe Flash Playerをご利用のお客様には、Adobe Flash Player 11.2.202.425へのアップデートを推奨します。
- Google ChromeとともにインストールされたAdobe Flash Playerについては、Windows 8.xのInternet Explorerと同様に、最新バージョンへのアップデートが自動的に行われます。
これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2014-0587、CVE-2014-9164)。
これらのアップデートは、コード実行の原因になりかねないUser-After-Free(解放したメモリの使用)の脆弱性を解消します(CVE-2014-8443)。
これらのアップデートは、コード実行の原因になりかねない、スタックベースのヒープバッファーオーバーフローの脆弱性を解消します(CVE-2014-9163)。
これらのアップデートは、情報漏えいの脆弱性を解消します(CVE-2014-9162)。
これらのアップデートは、同じ起源のポリシーを回避するために悪用されるおそれのある脆弱性を解消します(CVE-2014-0580)。
対象製品 | 推奨されるアップデート | 入手方法 |
---|---|---|
Flash Player デスクトップランタイム |
16.0.0.235 | |
Flash Player継続サポートリリース | 13.0.0.259 | 継続サポート |
Linux 向け Flash Player | 11.2.202.425 | Flash Player ダウンロードセンター |
Google Chrome 用の Flash Player | 16.0.0.235 |
Google Chrome リリース |
Internet Explorer 10 および Internet Explorer 11 用の Flash Player | 16.0.0.235 |
Microsoft セキュリティアドバイザリ |
この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
- HP の Zero Day Initiative と協力する bilou (CVE-2014-9163)
- Google Security Team の Fermin J. Serna 氏、Mateusz Jurczyk および Ben Hawkes 氏(CVE-2014-0587)
- McAfee Labs IPS TeamHaifei Li氏(CVE-2014-8443)
- Google Project Zero の Tavis Ormandy 氏と Chris Evans 氏(CVE-2014-9164)
- DeNA Co., Ltd. の Toshiharu Sugiyama 氏(CVE-2014-0580)
- HP の Zero Day Initiative に協力する Venustech ADLAB の Wen Guanxing 氏(CVE-2014-9162)