Adobe セキュリティ情報

リリース日： 2015 年 10 月 13 日（米国時間）

最終更新日： 2016年 1 月 7 日

脆弱性識別番号： APSB15-25

優先度：以下の表を参照してください

番号: -5569、CVE-、CVE-2015-、CVE-2015-7625、CVE-2015-7626、CVE-2015-7627、CVE-2015-7628、CVE-2015-7629、CVE-2015-7630、CVE-2015-7631、CVE-2015-7632、CVE-2015-7633、CVE-2015-7635、CVE-2015-7636、CVE-2015-7637、CVE-2015-7638、CVE-2015-7639、CVE-2015-7640、CVE-2015-7641、CVE-2015-7642、CVE-2015-7643、CVE-2015-7644

プラットフォーム：全プラットフォーム

Adobe Flash Player のセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。

• ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe （または Macromedia） Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。

• ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

• Windows 版 と Macintosh 版 の Adobe Flash Player デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 19.0.0.207 をダウンロードしてアップデートすることを推奨します [1]。
• Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 18.0.0.252 をダウンロードしてアップデートすることを推奨します。
• Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.535 をダウンロードしアップデートすることを推奨します。
• Google Chrome とともにインストールされた Adobe については、Windows、Macintosh、Linux および Chrome OS には Adobe Flash Player 19.0.0.207 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
• Windows 10 用の Microsoft Edge とともにインストールされた Adobe Flash Player については、Adobe Flash Player 19.0.0.207 を含む最新バージョンへのアップデートが自動的に行われます。
• Windows 8.0 および 8.1.用の Internet Explorer 10 および 11 とともにインストールされた Adobe Flash Player については、Adobe Flash Player 19.0.0.207 を含む最新バージョンへのアップデートが自動的に行われます。
  
• AIR デスクトップランタイム、AIR SDK、AIR SDK およびコンパイラをご使用のお客様には、AIR ダウンロードセンターまたは AIR デベロッパーセンターを参照し、バージョン 19.0.0.213 へアップデートすることをお勧めしています。
• Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。

• このアップデートは、同一生成元ポリシーのバイパスに悪用して情報漏えいの原因になりかねない脆弱性を解消します（CVE-2015-7628）。
• これらのアップデートには、Flash Broker の API に関する Defense-in-Depth 機能が含まれます（CVE-2015-5569）。
• これらのアップデートは、コード実行の原因になりかねない、解放済みメモリ使用の脆弱性を解消します（CVE-2015-7629、CVE-2015-7631、CVE-2015-7635、CVE-2015-7636、CVE-2015-7637、CVE-2015-7638、CVE-2015-7639、CVE-2015-7640、CVE-2015-7641、CVE-2015-7642、CVE-2015-7643、CVE-2015-7644）。
• このアップデートは、コード実行の原因になりかねない、バッファーオーバーフローの脆弱性を解消します（CVE-2015-7632）。
• このアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します（CVE-2015-7625、CVE-2015-7626、CVE-2015-7627、CVE-2015-7630、CVE-2015-7633）。
  

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• Dave「dwizzzle」Weston 氏（CVE-2015-5569）
• Chromium Vulnerability Rewards Program と協力する bee13oy 氏（CVE-2015-7633）
• HP Zero Day Initiative と協力する、Alibaba Security Threat Information Center の instruder 氏（CVE-2015-7629）
• HP の Zero Day Initiative と協力する匿名者様（CVE-2015-7632）
• Google Project Zero の Nicolas Joly 氏および Natalie Silvanovich 氏（CVE-2015-7644）
• HP Zero Day Initiative と協力する bilou 氏（CVE-2015-7631）
• HP Zero Day Initiative と協力する bilou 氏および Qihoo 360 Vulcan Team の Yuki Chen 氏（CVE-2015-7643）
• Alibaba Security Threat Information Center の instruder 氏（CVE-2015-7630）
• Alibaba Security Research Team の Jincheng Liu 氏および Lijun Cheng 氏（CVE-2015-7625、CVE-2015-7626）
• Tencent's Xuanwu Lab の Kai Kang 氏（CVE-2015-7627）
• Qihoo 360 Vulcan Team の Yuki Chen 氏（CVE-2015-7635、CVE-2015-7636、CVE-2015-7637、CVE-2015-7638、CVE-2015-7639、CVE-2015-7640、CVE-2015-7641、CVE-2015-7642、CVE-2015-7643）
  
• Akamine Tokuji 氏（CVE-2015-7628）
  

2015 年 10 月 14 日： Qihoo 360 Vulcan Team の Yuki Chen 氏に対する CVE の謝辞を追加しました。

2015 年 11 月 5 日：セキュリティ情報から CVE-2015-7634 を削除しました。 この CVE はもともと、メモリ破損の問題として分類していましたが、以降は、悪用される可能性のないヌルポインター参照解除バグとして再分類されています。

2016 年 1 月 7 日：CVE-2015-7628 の開示につき、Akamine Tokuji 氏に対する謝辞を追加しました。