Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2015 年 12 月 8 日

最終更新日:2016年6月3日

脆弱性識別番号:APSB15-32

優先度:以下の表を参照してください

CVE 番号: CVE-2015-8045、CVE-2015-8047、CVE-2015-8048、CVE-2015-8049、CVE-2015-8050、CVE-2015-8418、CVE-2015-8454、CVE-2015-8455、CVE-2015-8055、CVE-2015-8056、CVE-2015-8057、CVE-2015-8058、CVE-2015-8059、CVE-2015-8060、CVE-2015-8061、CVE-2015-8062、CVE-2015-8063、CVE-2015-8064、CVE-2015-8065、CVE-2015-8066、CVE-2015-8067、CVE-2015-8068、CVE-2015-8069、CVE-2015-8070、CVE-2015-8071、CVE-2015-8401、CVE-2015-8402、CVE-2015-8403、CVE-2015-8404、CVE-2015-8405、CVE-2015-8406、CVE-2015-8407、CVE-2015-8408、CVE-2015-8409、CVE-2015-8410、CVE-2015-8411、CVE-2015-8412、CVE-2015-8413、CVE-2015-8414、CVE-2015-8415、CVE-2015-8416、CVE-2015-8417、CVE-2015-8419、CVE-2015-8420、CVE-2015-8421、CVE-2015-8422、CVE-2015-8423、CVE-2015-8424、CVE-2015-8425、CVE-2015-8426、CVE-2015-8427、CVE-2015-8428、CVE-2015-8429、CVE-2015-8430、CVE-2015-8431、CVE-2015-8432、CVE-2015-8433、CVE-2015-8434、CVE-2015-8435、CVE-2015-8436、CVE-2015-8437、CVE-2015-8438、CVE-2015-8439、CVE-2015-8440、CVE-2015-8441、CVE-2015-8442、CVE-2015-8443、CVE-2015-8444、CVE-2015-8445、CVE-2015-8446、CVE-2015-8447、CVE-2015-8448、CVE-2015-8449、CVE-2015-8450、CVE-2015-8451、CVE-2015-8452、CVE-2015-8453、CVE-2015-8456、CVE-2015-8457、CVE-2015-8652、CVE-2015-8653、CVE-2015-8654、CVE-2015-8655、CVE-2015-8656、CVE-2015-8657、CVE-2015-8658、CVE-2015-8820、CVE-2015-8821、CVE-2015-8822、CVE-2015-8823

プラットフォーム:全プラットフォーム

概要

Adobe Flash Player のセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。

対象のバージョン

製品名 対象のバージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 19.0.0.245 以前
Windows および Macintosh
Adobe Flash Player 継続サポートリリース 18.0.0.261 以前 Windows および Macintosh
Google Chrome 用の Adobe Flash Player 19.0.0.245 以前 Windows、Macintosh、Linux および ChromeOS
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 19.0.0.245 以前 Windows 10
Internet Explorer 10 および 11 用の Adobe Flash Player 19.0.0.245 以前 Windows 8.0 および 8.1
Linux 向け Adobe Flash Player 11.2.202.548 以前 Linux
AIR デスクトップランタイム 19.0.0.241 以前 Windows および Macintosh
AIR SDK 19.0.0.241 以前 Windows、Macintosh、AndroidおよびiOS
AIR SDK & Compiler 19.0.0.241 以前 Windows、Macintosh、AndroidおよびiOS
Android 版 AIR 19.0.0.241 以前 Android
  • ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。
  • ご利用中のシステムにインストールされている Adobe AIR のバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

解決方法

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 入手方法
Adobe Flash Player デスクトップランタイム(Internet Explorer向けのサポート)
20.0.0.228 Windows および Macintosh
1

Flash Player ダウンロードセンター

Flash Playerの配布

Adobe Flash Player デスクトップランタイム(Firefox および Safari向けのサポート) 20.0.0.235 Windows および Macintosh 1

Flash Player ダウンロードセンター  

Flash Playerの配布

Adobe Flash Player 継続サポートリリース 18.0.0.268 Windows および Macintosh
1 継続サポート
Google Chrome 用の Adobe Flash Player 20.0.0.228 Windows、Macintosh、Linux および ChromeOS    1 Google Chrome リリース
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 20.0.0.228 Windows 10 1 Microsoft セキュリティアドバイザリ
Internet Explorer 10 および 11 用の Adobe Flash Player 20.0.0.228 Windows 8.0 および 8.1
1 Microsoft セキュリティアドバイザリ
Linux 向け Adobe Flash Player 11.2.202.554 Linux 3 Flash Player ダウンロードセンター
AIRデスクトップランタイム 20.0.0.204 Windows および Macintosh 3 AIR ダウンロードセンター
AIR SDK 20.0.0.204 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
AIR SDK & Compiler 20.0.0.204 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
Android版AIR 20.0.0.204 Android 3 Google Play
  • Windows 版 と Macintosh 版 の デスクトップランタイムをご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから、または製品内蔵のアップデート機能から指示があった際に Adobe Flash Player 20.0.0.228(Internet Explorer向けのサポート)および 20.0.0.235(Firefox および Safari向けのサポート)をダウンロードしてアップデートすることを推奨します [1]。
  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 18.0.0.268 をダウンロードしてアップデートすることを推奨します。
  • Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、_jpAdobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.554 をダウンロードしアップデートすることを推奨します。
  • Google Chrome とともにインストールされた Adobe Flash Player については、Windows、Macintosh、Linux および Chrome OS については、Adobe Flash Player 20.0.0.228 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
  • Windows 10 用の Microsoft Edge および Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 20.0.0.228 を含む最新バージョンへのアップデートが自動的に行われます。 
  • Windows 8.x 用の Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 20.0.0.228 を含む最新バージョンの Internet Explorer へのアップデートが自動的に行われます。
  • AIR デスクトップランタイム、AIR SDK、AIR SDK およびコンパイラをご使用のお客様には、AIR ダウンロードセンターまたは AIR デベロッパーセンターを参照し、バージョン 20.0.0.204 へアップデートすることをお勧めしています。
  • Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。
 
[1] 「アップデートがある場合に自動的にインストールする」のオプションを選択した Windows 版の Flash Player 11.2.x またはそれ以後、あるいは Macintosh 版の Flash Player 11.3.x またはそれ以後をご利用中のユーザーは自動的にアップデートが適用されます。 「アップデートがある場合に自動的にインストールする」のオプションが選択されていない場合は、製品内蔵のアップデート機能から指示があった際に、この仕組みを利用してアップデートを適用できます。

脆弱性に関する詳細

  • このアップデートは、コード実行の原因になりかねない、ヒープバッファーオーバーフローの脆弱性を解消します(CVE-2015-8438、CVE-2015-8446)。
  • このアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2015-8444、CVE-2015-8443、CVE-2015-8417、CVE-2015-8416、CVE-2015-8451、CVE-2015-8047、CVE-2015-8455、CVE-2015-8045、CVE-2015-8418、CVE-2015-8060、CVE-2015-8419、CVE-2015-8408、CVE-2015-8652、CVE-2015-8654、CVE-2015-8656、CVE-2015-8657、CVE-2015-8658、CVE-2015-8820)。
  • このアップデートはセキュリティ・バイパスの脆弱性を解消します(CVE-2015-8453、CVE-2015-8440、CVE-2015-8409)。
  • これらのアップデートは、コード実行の原因になりかねないスタックオーバーフローの脆弱性を解消します(CVE-2015-8407、CVE-2015-8457)。
  • これらのアップデートは、コード実行の原因になりかねない、入力の混乱の脆弱性を解消します(CVE-2015-8439、CVE-2015-8456)。
  • このアップデートは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します(CVE-2015-8445)。
  • このアップデートは、コード実行の原因になりかねない、バッファーオーバーフローの脆弱性を解消します(CVE-2015-8415)。
  • このアップデートには、コード実行につながる可能性がある、済みメモリ使用(use-after-free)の脆弱性があります(CVE-2015-8050、CVE-2015-8049、CVE-2015-8437、CVE-2015-8450、CVE-2015-8449、CVE-2015-8448、CVE-2015-8436、CVE-2015-8452、CVE-2015-8048、CVE-2015-8413、CVE-2015-8412、CVE-2015-8410、CVE-2015-8411、CVE-2015-8424、CVE-2015-8422、CVE-2015-8420、CVE-2015-8421、CVE-2015-8423、CVE-2015-8425、CVE-2015-8433、CVE-2015-8432、CVE-2015-8431、CVE-2015-8426、CVE-2015-8430、CVE-2015-8427、CVE-2015-8428、CVE-2015-8429、CVE-2015-8434、CVE-2015-8435、CVE-2015-8414、CVE-2015-8454、CVE-2015-8059、CVE-2015-8058、CVE-2015-8055、CVE-2015-8057、CVE-2015-8056、CVE-2015-8061、CVE-2015-8067、CVE-2015-8066、CVE-2015-8062、CVE-2015-8068、CVE-2015-8064、CVE-2015-8065、CVE-2015-8063、CVE-2015-8405、CVE-2015-8404、CVE-2015-8402、CVE-2015-8403、CVE-2015-8071、CVE-2015-8401、CVE-2015-8406、CVE-2015-8069、CVE-2015-8070、CVE-2015-8441、CVE-2015-8442、CVE-2015-8447、CVE-2015-8653、CVE-2015-8655、CVE-2015-8822、CVE-2015-8821、CVE-2015-8823)。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • HPE Zero Day Initiative の AbdulAziz Hariri 氏(CVE-2015-8652、CVE-2015-8653、CVE-2015-8654、CVE-2015-8656、CVE-2015-8657、CVE-2015-8822、CVE-2015-8658、CVE-2015-8820、CVE-2015-8821)
  • HPE Zero Day Initiative と協力する匿名者様(CVE-2015-8050、CVE-2015-8049、CVE-2015-8437、CVE-2015-8438、CVE-2015-8446、CVE-2015-8655、CVE-2015-8823)
  • Chromium Vulnerability Rewards Program と協力する bee13oy 氏(CVE-2015-8418)
  • HPE Zero Day Initiative と協力する bilou 氏(CVE-2015-8450、CVE-2015-8449、CVE-2015-8448、CVE-2015-8442、CVE-2015-8447、CVE-2015-8445、CVE-2015-8439)
  • HPE Zero Day Initiative と協力する Furugawa Nagisa 氏(CVE-2015-8436)
  • Palo Alto Networks の Hui Gao 氏(CVE-2015-8443、CVE-2015-8444)
  • Alibaba Security Threat Information Center の instruder 氏(CVE-2015-8060、CVE-2015-8408、CVE-2015-8419)
  • Qihoo 360 の Jie Zeng 氏(-8415、CVE-2015-、CVE-2015-8417)
  • HPE Zero Day Initiative と協力する Qihoo 360 の Jie Zeng 氏と匿名者様(CVE-2015-8416)
  • Qihoo 360 の LMX 氏(CVE-2015-8451、CVE-2015-8452)
  • Google Project Zero の Natalie Silvanovich 氏(CVE-2015-8048、CVE-2015-8413、CVE-2015-8412、CVE-2015-8410、CVE-2015-8411、CVE-2015-8424、CVE-2015-8422、CVE-2015-8420、CVE-2015-8421、CVE-2015-8423、CVE-2015-8425、CVE-2015-8433、CVE-2015-8432、CVE-2015-8431、CVE-2015-8426、CVE-2015-8430、CVE-2015-8427、CVE-2015-8428、CVE-2015-8429、CVE-2015-8434、CVE-2015-8456)
  • Microsoft Security の Nicolas Joly 氏(CVE-2015-8414、CVE-2015-8435)
  • HP の Zero Day Initiative と協力する s3tm3m 氏(CVE-2015-8457)
  • HP Zero Day Initiative と協力する VUPEN 氏(CVE-2015-8453)
  • Tencent PC Manager の willJ 氏(CVE-2015-8407)
  • Qihoo 360 Vulcan Team の Yuki Chen 氏(CVE-2015-8454、CVE-2015-8059、CVE-2015-8058、CVE-2015-8055、CVE-2015-8057、CVE-2015-8056、CVE-2015-8061、CVE-2015-8067、CVE-2015-8066、CVE-2015-8062、CVE-2015-8068、CVE-2015-8064、CVE-2015-8065、CVE-2015-8063、CVE-2015-8405、CVE-2015-8404、CVE-2015-8402、CVE-2015-8403、CVE-2015-8071、CVE-2015-8401、CVE-2015-8406、CVE-2015-8069、CVE-2015-8070、CVE-2015-8440、CVE-2015-8409、CVE-2015-8047、CVE-2015-8455、CVE-2015-8045、CVE-2015-8441)

更新履歴

2015 年 12 月 8 日、CVE-2015-8051、CVE-2015-8052、CVE-2015-8053 を削除しました(すべて以前に割り当て済み)。 CVE-2015-8418(CVE-2015-8051 と置き換え)、CVE-2015-8454 (CVE-2015-8052 と置き換え)と CVE-2015-8454(CVE-2015-8053と置き換え)を追加しました。 元の記事に間違って含まれていた CVE-2015-8054 を削除しました。 

2015 年 12 月 9 日: CVE-2015-8456 および CVE-2015-8457 を追加しました。本件は、元情報から誤って省略されたものです。 

2016 年 3 月 2 日:以下の CVE を追加しました。本件は、元情報から誤って省略されたものです。CVE-2015-8652、CVE-2015-8653、CVE-2015-8654、CVE-2015-8655、CVE-2015-8656、CVE-2015-8657、CVE-2015-8822、CVE-2015-8658、CVE-2015-8820、CVE-2015-8821。 

2016 年 4 月 15 日: CVE-2015-8823 を追加しました。本件は情報の元バージョンで誤って省略されたものです。 

2016 年 6 月 3 日: CVE-2015-8416 のご指摘につき、HPE の Zero Day Initiative と協力する匿名者様に対する謝辞を追加しました。本 CVE についても、Qihoo 360 の Jie Zeng 氏から個人的にご報告いただきました。