Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2015 年 7 月 8 日

最終更新日:2015年7月17月

脆弱性識別番号: APSB15-16

優先度:以下の表を参照してください

CVE 番号: CVE-2014-0578、CVE-2015-3097、CVE-2015-3114、CVE-2015-3115、CVE-2015-3116、CVE-2015-3117、CVE-2015-3118、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-3123、CVE-2015-3124、CVE-2015-3125、CVE-2015-3126、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3130、CVE-2015-3131、CVE-2015-3132、CVE-2015-3133、CVE-2015-3134、CVE-2015-3135、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4429、CVE-2015-4430、CVE-2015-4431、CVE-2015-4432、CVE-2015-4433、CVE-2015-5116、CVE-2015-5117、CVE-2015-5118、CVE-2015-5119、CVE-2015-5124

プラットフォーム:全プラットフォーム

概要

Windows 版、Macintosh 版、Linux 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのあるクリティカルな脆弱性が解消されます。アドビ システムズ社では CVE-2015-5119 を標的とした悪用に関する報告について把握しています。

対象のバージョン

製品名 対象のバージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 18.0.0.194 以前
Windows および Macintosh
Adobe Flash Player 継続サポートリリース 13.0.0.296 以前 Windows および Macintosh
Google Chrome 用の Adobe Flash Player  18.0.0.194 以前 Windows、Macintosh および Linux
Internet Explorer 10 および Internet Explorer 11 用の Adobe Flash Player 18.0.0.194 以前 Windows 8.0 および 8.1
Adobe Flash Player 11.2.202.468 以前 Linux
AIR デスクトップランタイム 18.0.0.144 以前 Windows および Macintosh
AIR SDK 18.0.0.144 以前 Windows、Macintosh、AndroidおよびiOS
AIR SDK & Compiler 18.0.0.144 以前 Windows、Macintosh、AndroidおよびiOS
  • ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。
  • ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

解決方法

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度
入手方法
Flash Player デスクトップランタイム
18.0.0.203 Windows および Macintosh
1 Flash Player ダウンロードセンター  Flash Player Distribution
Flash Player 継続サポートリリース 13.0.0.302 Windows および Macintosh
1 継続サポート
Linux 向け Flash Player 11.2.202.481 Linux 3 Flash Player ダウンロードセンター
Google Chrome 用の Flash Player 18.0.0.203  Windows および Macintosh    1 Google Chrome リリース
Google Chrome 用の Flash Player 18.0.0.204 Linux 3 Google Chrome リリース
Internet Explorer 10 および Internet Explorer 11 用の Flash Player 18.0.0.203 Windows 8.0 および 8.1
1 Microsoft セキュリティアドバイザリ
AIR デスクトップランタイム 18.0.0.180 Windows および Macintosh 3 AIR ダウンロードセンター
AIR SDK 18.0.0.180 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
AIR SDK & Compiler 18.0.0.180 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
  • Windows 版 と Macintosh 版 の Adobe Flash Player デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 18.0.0.203 をダウンロードしてアップデートすることを推奨します [1]。
  • Adobe Flash Player の継続サポートリリース [2] をご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 13.0.0.302 をダウンロードしてアップデートすることを推奨します。
  • Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.481 をダウンロードしアップデートすることを推奨します。
  • Google Chrome とともにインストールされた Adobe Flash Player については、Windows および Macintosh には Adobe Flash Player 18.0.0.203、また、Linux には Adobe Flash Player 18.0.0.204 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
  • Windows 8.x 用の Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 18.0.0.203 を含む最新バージョンの Internet Explorer へのアップデートが自動的に行われます。
  • Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。
 
[1] 「アップデートがある場合に自動的にインストールする」のオプションを選択した Windows 版の Flash Player 11.2.x またはそれ以後、あるいは Macintosh 版の Flash Player 11.3.x またはそれ以後をご利用中のユーザーは自動的にアップデートが適用されます。 「アップデートがある場合に自動的にインストールする」のオプションが選択されていない場合は、製品内蔵のアップデート機能から指示があった際に、この仕組みを利用してアップデートを適用できます。
 
[2] 注意:2015 年 8 月 11 日の早朝に、Windows 版 と Macintosh 版の「継続サポートリリース」のバージョンを Flash Player 13 から Flash Player 18 にアップデートします。公開してあるすべてのセキュリティアップデートを最新にするには、Flash Player 継続サポートリリースのバージョン 18 にインストールするか、最近公開したバージョンにアップデートする必要があります。詳細については、http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html
のこのブログをご覧ください。

脆弱性に関する詳細

  • このアップデートは、Window 7 64 ビットプラットフォームの Flash ヒープのメモリアドレスランダム化を改善します(CVE-2015-3097)。
  • このアップデートは、コード実行の原因になりかねない、ヒープバッファのオーバーフローの脆弱性を解消します(CVE-2015-3135、CVE-2015-4432、CVE-2015-5118)。
  • これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2015-3117、CVE-2015-3123、CVE-2015-3130、CVE-2015-3133、CVE-2015-3134、CVE-2015-4431、CVE-2015-5124)。
  • これらのアップデートは、ヌルポインタ参照の問題を解消します (CVE-2015-3126、CVE-2015-4429)。
  • これらのアップデートは、情報漏えいの原因になりかねない、セキュリティ迂回の脆弱性を解消します(CVE-2015-3114)。
  • これらのアップデートは、コード実行の原因になりかねないタイプの混乱の脆弱性を解消します(CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433)。
  • これらのアップデートは、コード実行の原因になりかねない、解放済みメモリ使用の脆弱性を解消します(CVE-2015-3118、CVE-2015-3124、CVE-2015-5117、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4430、CVE-2015-5119)。
  • これらのアップデートは、同一生成元ポリシーのバイパスに悪用して情報漏えいの原因になりかねない脆弱性を解消します(CVE-2014-0578、CVE-2015-3115、CVE-2015-3116、CVE-2015-3125、CVE-2015-5116)。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Google Project Zero の Ben Hawkes 氏(CVE-2015-4430)
  • Chromium Vulnerability Rewards Program と協力する bilou 氏(CVE-2015-3118、CVE-2015-3128)
  • Google Project Zero の Chris Evans 氏(CVE-2015-3097、CVE-2015-5118)
  • Google Project Zero の Chris Evans 氏、Ben Hawkes 氏、Mateusz Jurczyk 氏(CVE-2015-4432)
  • HP Zero Day Initiative の David Kraftsow (dontsave) 氏(CVE-2015-3125)
  • Alibaba Security Threat Information の instruder 氏(CVE-2015-3133)
  • Tencent's Xuanwu Lab の Kai Kang 氏(CVE-2015-4429、CVE-2015-5124)
  • Fortinet FortiGuard LabsのKai Lu様(CVE-2015-3117)
  • KEEN Team の Jihui Lu 氏(CVE-2015-3124)
  • Malte Batram 氏(CVE-2015-3115, CVE-2015-3116)
  • Google Project Zero の Mateusz Jurczyk 氏(CVE-2015-3123)
  • Google Project Zero の Natalie Silvanovich 氏(CVE-2015-3130、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433、CVE-2015-5117、CVE-2015-3127、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428)
  • NCC Group の Soroush Dalili 氏(CVE-2015-3114、CVE-2014-0578)
  • Tencent PC Manager の willJ 氏(CVE-2015-3126)
  • Qihoo 360 Vulcan Team の Yuki Chen 氏(CVE-2015-3134、CVE-2015-3135、CVE-2015-4431)
  • Zręczny Gamoń氏(CVE-2015-5116)
  • Google Project Zero および Morgan Marquis-Boire(CVE-2015-5119)

更新履歴

2015 年 7 月 17 日:これらのアップデートを行って CVE (CVE-2015-5124)を別途組み込んで解決しましたが、不手際にて掲示漏れしたものです。