Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2015 年 5 月 12 日

最終更新日: 2015 年 7 月 3 日

脆弱性識別番号: APSB15-09

優先度:以下の表を参照してください

CVE 番号:CVE-2015-3044、CVE-2015-3077、CVE-2015-3078、CVE-2015-3079、CVE-2015-3080、CVE-2015-3081、CVE-2015-3082、CVE-2015-3083、CVE-2015-3084、CVE-2015-3085、CVE-2015-3086、CVE-2015-3087、CVE-2015-3088、CVE-2015-3089、CVE-2015-3090、CVE-2015-3091、CVE-2015-3092、CVE-2015-3093

プラットフォーム: 全プラットフォーム

概要

Windows 版、Macintosh 版、Linux 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows 版および Macintosh 版の Adobe Flash Player デスクトップランタイムをご利用のお客様には、Adobe Flash Player 17.0.0.188 へのアップデートを推奨します。
  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.289 へのアップデートを推奨します。
  • Linux 版 Adobe Flash Player をご利用のお客様には、Adobe Flash Player 11.2.202.460 へのアップデートを推奨します。
  • Google Chrome とともにインストールされた Adobe Flash Player については、Windows 8.x の Internet Explorer と同様に、17.0.0.188 バージョンへのアップデートが自動的に行われます。
  • Adobe AIR デスクトップランタイムをご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。
  • Adobe AIR SDK および Adobe AIR SDK & Compiler をご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。

対象ソフトウェアバージョン

  • Adobe Flash Player 17.0.0.169 とそれ以前のバージョン
  • Adobe Flash Player 13.0.0.281 とそれ以前の 13.x バージョン
  • Adobe Flash Player 11.2.202.457 とそれ以前の 11.x バージョン
  • AIR Desktop Runtime 17.0.0.144 とそれ以前のバージョン
  • AIR SDK および SDK & Compiler 17.0.0.144 とそれ以前のバージョン 

ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。

ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

解決策

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows 版 と Macintosh 版 の Adobe Flash Player デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 17.0.0.188 をダウンロードしてアップデートすることを推奨します。

  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 13.0.0.289 をダウンロードしてアップデートすることを推奨します。

  • Linux 版の Adobe Flash Player をご利用のお客様には、_jpAdobe Flash Player ダウンロードセンターから、Adobe Flash Player 11.2.202.460 へのアップデートを推奨します。

  • Google Chrome とともにインストールされた Adobe Flash Player については、Adobe Flash Player 17.0.0.188 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。

  • Windows 8.x 用の Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 17.0.0.188 を含む最新バージョンの Internet Explorer へのアップデートが自動的に行われます。

  • Adobe AIR デスクトップランタイムをご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

  • Adobe AIR SDK をご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

  • Adobe AIR SDK & Compiler をご利用のお客様には、Adobe AIR ダウンロードセンターからバージョン 17.0.0.172 へのアップデートを推奨します。

優先度と緊急度の評価

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 対象のバージョン プラットフォーム 優先度評価
Adobe Flash Player デスクトップランタイム 17.0.0.169 以前
Windows および Macintosh
1
Adobe Flash Player 継続サポートリリース 13.0.0.281 以前 Windows および Macintosh
1
Google Chrome 用の Adobe Flash Player  17.0.0.169 以前 Windows、Macintosh および Linux
1
Internet Explorer 10 および Internet Explorer 11 用の Adobe Flash Player 17.0.0.169 以前 Windows 8.0 および 8.1 1
Adobe Flash Player 11.2.202.457 以前 Linux 3
AIR デスクトップランタイム 17.0.0.144 以前 Windows および Macintosh  3
AIR SDK 17.0.0.144 以前 Windows、Macintosh、AndroidおよびiOS  3
AIR SDK & Compiler 17.0.0.144 以前 Windows、Macintosh、AndroidおよびiOS  3

これらのアップデートは、ソフトウェアのクリティカルな脆弱性に対処します。

詳細

Windows 版、Macintosh 版、Linux 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある脆弱性が解消されます。  ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Windows 版および Macintosh 版の Adobe Flash Player デスクトップランタイムをご利用のお客様には、Adobe Flash Player 17.0.0.188 へのアップデートを推奨します。

  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、Adobe Flash Player 13.0.0.289 へのアップデートを推奨します。

  • Linux 版 Adobe Flash Player をご利用のお客様には、Adobe Flash Player 11.2.202.460 へのアップデートを推奨します。

  • Google Chrome とともにインストールされた Adobe Flash Player については、Windows 8.x の Internet Explorer と同様に、17.0.0.188 バージョンへのアップデートが自動的に行われます。

  • Adobe AIR デスクトップランタイムをご利用のお客様には、バージョン 17.0.0.172 へのアップデートを推奨します。

  • Adobe AIR SDK およびAdobe AIR SDK & Compiler をご利用のお客様には、バージョン17.0.0.172へのアップデートを推奨します。

これらのアップデートは、コード実行の原因になりかねないメモリ破損の脆弱性を解消します(CVE-2015-3078、CVE-2015-3089、CVE-2015-3090、CVE-2015-3093)。

これらのアップデートは、コード実行の原因になりかねないヒープベースのオーバーフローの脆弱性を解消します(CVE-2015-3088)。

これらのアップデートは、Internet Explorer の保護モードのバイパスに利用される恐れのある TOCTOU (time-of-check time-of-use)競合条件を解消します(CVE-2015-3081)。

これらのアップデートは、ユーザー権限下にあるファイルシステムへの任意のデータの書き込みに利用される恐れのある署名検証バイパス問題を解消します(CVE-2015-3082、CVE-2015-3083、CVE-2015-3085)。

これらのアップデートは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します(CVE-2015-3087)。

これらのアップデートは、コード実行の原因になりかねない、タイプの混乱の脆弱性を解消します(CVE-2015-3077、CVE-2015-3084、CVE-2015-3086)。

これらのアップデートは、コード実行の原因になりかねない、解放後の使用の脆弱性を解消します(CVE-2015-3080)。

上記のアップデートにより、ASLR のバイパスに使用される可能性のあるメモリリークの脆弱性が解決されます(CVE-2015-3091、CVE-2015-3092)。

このアップデートは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します(CVE-2015-3087)。

対象製品   推奨されるアップデート 入手方法
Flash Player デスクトップランタイム
  17.0.0.188

Flash Player ダウンロードセンター

Flash Playerの配布

Flash Player 継続サポートリリース   13.0.0.289 継続サポート
Linux 向け Flash Player   11.2.202.460 Flash Player ダウンロードセンター
Google Chrome 用の Flash Player   17.0.0.188 Google Chrome リリース
Internet Explorer 10 および Internet Explorer 11 用の Flash Player   17.0.0.188
Microsoft セキュリティアドバイザリ
AIR デスクトップランタイム   17.0.0.172 AIR ダウンロードセンター
AIR SDK   17.0.0.172 AIR SDK ダウンロード
AIR SDK & Compiler   17.0.0.172 AIR SDK ダウンロード

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • bilou、Chromium Vulnerability Reward Program (CVE-2015-3080、CVE-2015-3093、CVE-2015-3089、CVE-2015-3087、CVE-2015-3088)   

  • Google Project Zero の Chris Evans 氏(CVE-2015-3078、CVE-2015-3090、CVE-2015-3091、CVE-2015-3092)

  • KeenTeam (@K33nTeam)の Jietao Yang 氏および Jihui Lu 氏(CVE-2015-3083)

  • KeenTeam (@K33nTeam)の Jietao Yang 氏(CVE-2015-3082)

  • KeenTeam (@K33nTeam)の Jihui Lu 氏(CVE-2015-3081)

  • Klikki Oy の Jouko Pynnönen 氏および Bas Venis 氏(CVE-2015-3044、CVE-2015-3079)

  • Google Project Zero の Natalie Silvanovich 氏(CVE-2015-3077、CVE-2015-3084、CVE-2015-3086)

  • HP の Zero Day Initiative と協力する Nicolas Joly 氏(CVE-2015-3085)

更新履歴

2015 年 7 月 3 日: CVE-2015-3044 および CVE-2015-3079 の別途のご指摘について、Bas Venis 氏に対する謝辞を追加しました。