Adobe セキュリティ情報

リリース日： 2015 年 4 月 14 日

最終更新日：2015年8月11日

脆弱性識別番号： APSB15-06

優先度：以下の表を参照してください

CVE 番号：CVE-2015-0346、CVE-2015-0347、CVE-2015-0348、CVE-2015-0349、CVE-2015-0350、CVE-2015-0351、CVE-2015-0352、CVE-2015-0353、CVE-2015-0354、CVE-2015-0355、CVE-2015-0356、CVE-2015-0357、CVE-2015-0358、CVE-2015-0359、CVE-2015-0360、CVE-2015-3038、CVE-2015-3039、CVE-2015-3040、CVE-2015-3041、CVE-2015-3042、CVE-2015-3043、CVE-2015-3044

プラットフォーム： 全プラットフォーム

Windows 版、Macintosh 版、Linux 版の Adobe Flash Playerを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある脆弱性が解消されます。

アドビは、CVE-2015-3043 が悪用されていることを報告するレポートを認識しており、対象製品をインストールしたお客様に最新バージョンへのアップグレードを推奨します。

• Windows 版および Macintosh 版の Adobe Flash Player デスクトップランタイムをご利用のお客様には、Adobe Flash Player 17.0.0.169 へのアップデートを推奨します。
• Adobe Flash Player の継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.281 へのアップデートを推奨します。
• Linux 版 Adobe Flash Player をご利用のお客様には、Adobe Flash Player 11.2.202.457 へのアップデートを推奨します。
• Windows 8.x 用の Internet Explorer と同様、Google Chrome とともにインストールされた Adobe Flash Player については、バージョン 17.0.0.169 の公開時にアップデートが自動的に行われます。
• Adobe AIR デスクトップランタイムをご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。
• Adobe AIR SDK および Adobe AIR SDK & Compiler をご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。

• Adobe Flash Player 17.0.0.134 とそれ以前のバージョン
• Adobe Flash Player 13.0.0.277 とそれ以前の 13.x バージョン
• Adobe Flash Player 11.2.202.451 とそれ以前の 11.x バージョン
• AIR Desktop Runtime 17.0.0.144 とそれ以前のバージョン
• AIR SDK および SDK & Compiler 17.0.0.144 とそれ以前のバージョン 

ご利用中のシステムにインストールされている Adobe Flash Player のバージョンを確認するには、Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe （または Macromedia） Flash Player について」を選択します。複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。

ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

• Windows 版 と Macintosh 版 の Adobe Flash Player デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 17.0.0.169 をダウンロードしてアップデートすることを推奨します。

• Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 13.0.0.281 をダウンロードしてアップデートすることを推奨します。

• Linux 版の Adobe Flash Player をご利用のお客様には、_jpAdobe Flash Player ダウンロードセンターから、Adobe Flash Player 11.2.202.457 へのアップデートを推奨します。

• Google Chrome とともにインストールされた Adobe Flash Player については、Adobe Flash Player 17.0.0.169 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。

• Windows 8.x 用の Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 17.0.0.169 を含む最新バージョンの公開時にアップデートが自動的に行われます。

• Adobe AIR デスクトップランタイムをご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

• Adobe AIR SDK をご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

• Adobe AIR SDK & Compiler をご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

これらのアップデートは、ソフトウェアのクリティカルな脆弱性に対処します。

Windows 版、Macintosh 版、Linux 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある脆弱性が解消されます。

アドビは、CVE-2015-3043 が悪用されていることを報告するレポートを認識しており、対象製品をインストールしたお客様に最新バージョンへのアップグレードを推奨します。

• Windows 版および Macintosh 版の Adobe Flash Player デスクトップランタイムをご利用のお客様には、Adobe Flash Player 17.0.0.169 へのアップデートを推奨します。

• Adobe Flash Player の継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.281 へのアップデートを推奨します。

• Linux 版 Adobe Flash Player をご利用のお客様には、Adobe Flash Player 11.2.202.457 へのアップデートを推奨します。

• Windows 8.x 用の Internet Explorer と同様、Google Chrome とともにインストールされた Adobe Flash Player については、バージョン 17.0.0.169 の公開時にアップデートが自動的に行われます。

• Adobe AIR デスクトップランタイムをご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。

• Adobe AIR SDK および Adobe AIR SDK & Compiler をご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。

上記のアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します（CVE-2015-0347、CVE-2015-0350、CVE-2015-0352、CVE-2015-0353、CVE-2015-0354、CVE-2015-0355、CVE-2015-0360、CVE-2015-3038、CVE-2015-3041、CVE-2015-3042、CVE-2015-3043）。

上記のアップデートは、コード実行の原因になる可能性があるタイプの混乱の脆弱性を解消します（CVE-2015-0356）。

上記のアップデートにより、コード実行の可能性のあるバッファオーバーフローの脆弱性が解決されます（CVE-2015-0348）。

上記のアップデートにより、コード実行の可能性のある解放済みメモリ使用の脆弱性が解決されます（CVE-2015-0349、CVE-2015-0351、CVE-2015-0358、CVE-2015-3039）。

上記のアップデートにより、コード実行の可能性のあるダブルフリーの脆弱性が解決されます（CVE-2015-0346、CVE-2015-0359）。

上記のアップデートにより、ASLR のバイパスに使用される可能性のあるメモリリークの脆弱性が解決されます（CVE-2015-0357、CVE-2015-3040）。

上記のアップデートにより、情報漏洩の可能性のあるセキュリティバイバスの脆弱性が解決されます（CVE-2015-3044）。

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• 匿名 (CVE-2015-3043)

• bilou、Chromium Vulnerability Reward Program 担当 （CVE-2015-0357、CVE-2015-0358、CVE-2015-0359）  

• Google Project Zero の Chris Evans 氏（CVE-2015-0348、CVE-2015-0352、CVE-2015-0353、CVE-2015-0354、CVE-2015-0355、CVE-2015-0360）

• Alibaba Security Research Team の侵入者（CVE-2015-3038）

• Chromium Vulnerability Reward Program と協力する、Keen Team （@K33nTeam）の Jihui Lu 氏（CVE-2015-0351、CVE-2015-3040、CVE-2015-3041）

• Klikki Oy の Jouko Pynnönen 氏 （CVE-2015-0346、CVE-2015-3044）

• Google Security Team の Michele Spagnuolo 氏、および Google Project Zero の Mark Brand 氏（CVE-2015-3042）

• Google Project Zero と協力する Natalie Silvanovich 氏（CVE-2015-0356）

• Google Project Zero と協力する Natalie Silvanovich 氏、および HP の Zero Day Initiative と協力する bilou （CVE-2015-3039）

• HP の Zero Day Initiative と協力する Nicolas Joly 氏（CVE-2015-0349）

• Google Project Zero の Steven Vittitoe 氏（CVE-2015-0350）

• HP の Zero Day Initiative と協力する s3tm3m （CVE-2015-0347）

2015 年 5 月 12 日：このセキュリティ情報で参照する CVE に対応する Adobe AIR バージョンを追加しました。 

2015 年 7 月 3 日： CVE-2015-3039 の別途のご指摘につき、HP の Zero Day Initiative と協力する bilou に対する謝辞を追加しました。