Adobe セキュリティ情報

リリース日： 2015 年 8 月 11 日

最終更新日： 2015 年 9 月 2 日

脆弱性識別番号： APSB15-19

優先度：以下の表を参照してください

CVE 番号： CVE-2015-5125、CVE-2015-5127、CVE-2015-5129、CVE-2015-5130、CVE-2015-5131、CVE-2015-5132、CVE-2015-5133、CVE-2015-5134、CVE-2015-5539、CVE-2015-5540、CVE-2015-5541、CVE-2015-5544、CVE-2015-5545、CVE-2015-5546、CVE-2015-5547、CVE-2015-5548、CVE-2015-5549、CVE-2015-5550、CVE-2015-5551、CVE-2015-5552、CVE-2015-5553、CVE-2015-5554、CVE-2015-5555、CVE-2015-5556、CVE-2015-5557、CVE-2015-5558、CVE-2015-5559、CVE-2015-5560、CVE-2015-5561、CVE-2015-5562、CVE-2015-5563、CVE-2015-5564、CVE-2015-5565、CVE-2015-5566、CVE-2015-6682

プラットフォーム：全プラットフォーム

Adobe Flash Player のセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。

• ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe （または Macromedia） Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。

• ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

• Windows 版 と Macintosh 版 の Adobe Flash Player デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 18.0.0.232 をダウンロードしてアップデートすることを推奨します [1]。
• Adobe Flash Player の継続サポートリリース [2] をご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html からバージョン 18.0.0.232 をダウンロードしてアップデートすることを推奨します。
• Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.508 をダウンロードしアップデートすることを推奨します。
• Google Chrome とともにインストールされた Adobe Flash Player については、Windows および Macintosh には Adobe Flash Player 18.0.0.232、また、Linux および Chrome OS には Adobe Flash Player 18.0.0.233 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
• Windows 10 用の Microsoft Edge とともにインストールされた Adobe Flash Player については、Adobe Flash Player 18.0.0.232 を含む最新バージョンへのアップデートが自動的に行われます。
• Windows 8.0 および 8.1.用の Internet Explorer 10 および 11 とともにインストールされた Adobe Flash Player については、Adobe Flash Player 18.0.0.232 を含む最新バージョンへのアップデートが自動的に行われます。
  
• AIR デスクトップランタイム、AIR SDK、AIR SDK およびコンパイラをご使用のお客様には、AIR ダウンロードセンターまたは AIR デベロッパーセンターを参照し、バージョン 18.0.0.199 へアップデートすることをお勧めしています。
• Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。

• このアップデートは、コード実行の原因になりかねない、型混同の脆弱性を解消します（CVE-2015-5554、CVE-2015-5555、CVE-2015-5558、CVE-2015-5562）。
• これらのアップデートでは、バージョン 18.0.0.209 に導入された脆弱性緩和機能のさらなる強化が含まれ、ベクトルの長さの破損を防止します（CVE-2015-5125）。
• このアップデートは、コード実行の原因になりかねない、解放済みメモリ使用の脆弱性を解消します（CVE-2015-5550、CVE-2015-5551、CVE-2015-5556、CVE-2015-5130、CVE-2015-5134、CVE-2015-5539、CVE-2015-5540、CVE-2015-5557、CVE-2015-5559、CVE-2015-5127、CVE-2015-5563、CVE-2015-5561、CVE-2015-5564、CVE-2015-5565、CVE-2015-5566、CVE-2015-6682）。
• これらのアップデートは、コード実行の原因になりかねない、ヒープバッファーオーバーフローの脆弱性を解消します（CVE-2015-5129、CVE-2015-5541）。
• これらのアップデートは、コード実行の原因になりかねない、バッファオーバーフローの脆弱性を解消します（CVE-2015-5131、CVE-2015-5132、CVE-2015-5133）。
• これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します（CVE-2015-5544、CVE-2015-5545、CVE-2015-5546、CVE-2015-5547、CVE-2015-5548、CVE-2015-5549、CVE-2015-5552、CVE-2015-5553）。
• これらのアップデートは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します（CVE-2015-5560）。

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• Fortinet FortiGuard LabsのKai Lu様（CVE-2015-5129）
• Google Project Zero の Chris Evans 氏、Ben Hawkes 氏、Mateusz Jurczyk 氏 (CVE-2015-5131、CVE-2015-5132、CVE-2015-5133、CVE-2015-5544、CVE-2015-5545、CVE-2015-5546、CVE-2015-5547、CVE-2015-5548)
• Alibaba Security Research Team の Wang Wei 氏 (CVE-2015-5566)
• Google Project Zero の Natalie Silvanovich 氏（CVE-2015-5550、CVE-2015-5551、CVE-2015-5554、CVE-2015-5555、CVE-2015-5556、CVE-2015-5134、CVE-2015-5539、CVE-2015-5540、CVE-2015-5557、CVE-2015-5558、CVE-2015-5562、CVE-2015-5560、CVE-2015-5564、CVE-2015-5565）
• Google Project Zero の Chris Evans 氏（CVE-2015-5549、CVE-2015-5125）
• Chromium Vulnerability Rewards Program を担当した biloui 氏（CVE-2015-5563、CVE-2015-5561、CVE-2015-5130、CVE-2015-5127）
• Qihoo 360 Vulcan Team の Yuki Chen 氏 (CVE-2015-5552、CVE-2015-5553、CVE-2015-5559)
• Alibaba Security Research Team の instruder 氏 (CVE-2015-5541)
• TrendMicro の Peter Pi 氏（CVE-2015-6682）

2015 年 8 月 11 日： Windows 10 で実行される Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player を含めるため、影響を受けるバージョンの表が更新されました。また、情報から意図せずに省略された CVE-2015-5564 への参照が追加されました。    

2015 年 8 月 12 日： CVE-2015-5565 への参照、CVE-2015-3107 と同様の解放済みメモリ使用の問題が追加されました。CVE-2015-3107 の修正は APSB15-11 で導入され、APSB15-19 で強化されています。また、型混同の問題であると以前に評価された CVE-2015-5128 が削除され、null ポインター例外によって悪用される可能性のないクラッシュとして再分類されています。

2015 年 8 月 20 日： CVE-2015-5124 を CVE-2015-5566 に置き換えました。 CVE-2015-5124 は APSB15-16 で取り上げ、誤って APSB15-19 で再使用しました。 

2015 年 9 月 2 日： CVE-2015-6682 への参照を追加しました。このリリースで解放済みメモリ使用の脆弱性は解決されましたが、誤って掲示漏れしたものです。