Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2016 年 5 月 12 日

最終更新日:2016年6月3日

脆弱性識別番号: APSB16-15

優先度:以下の表を参照してください

CVE 番号: CVE-2016-1096、CVE-2016-1097、CVE-2016-1098、CVE-2016-1099、CVE-2016-1100、CVE-2016-1101、CVE-2016-1102、CVE-2016-1103、CVE-2016-1104、CVE-2016-1105、CVE-2016-1106、CVE-2016-1107、CVE-2016-1108、CVE-2016-1109、CVE-2016-1110、CVE-2016-4108、CVE-2016-4109、CVE-2016-4110、CVE-2016-4111、CVE-2016-4112、CVE-2016-4113、CVE-2016-4114、CVE-2016-4115、CVE-2016-4116、CVE-2016-4117、CVE-2016-4120、CVE-2016-4121、CVE-2016-4160、CVE-2016-4161、CVE-2016-4162、CVE-2016-4163

プラットフォーム: Windows、Macintosh、Linux および ChromeOS

概要

Windows 版、Macintosh 版、Linux 版、および ChromeOS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。アドビは、CVE-2016-4117 のエクスプロイトが猛威を振るっているという複数の報告があることを承知しています。詳細については、APSA16-02 を参照してください。

対象のバージョン

製品名 対象のバージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 21.0.0.226 以前
Windows および Macintosh
Adobe Flash Player 継続サポートリリース 18.0.0.343 以前 Windows および Macintosh
Google Chrome 用の Adobe Flash Player 21.0.0.216 以前 Windows、Macintosh、Linux および ChromeOS
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 21.0.0.241 以前 Windows 10
Internet Explorer 11 用の Adobe Flash Player 21.0.0.241 以前 Windows 8.1
Linux 向け Adobe Flash Player 11.2.202.616 以前 Linux
AIR デスクトップランタイム 21.0.0.198 以前 Windows および Macintosh
AIR SDK 21.0.0.198 以前 Windows、Macintosh、AndroidおよびiOS
AIR SDK & Compiler 21.0.0.198 以前 Windows、Macintosh、AndroidおよびiOS
  • ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。
  • ご利用中のシステムにインストールされているAdobe AIRのバージョンを確認するには、Adobe AIR テクニカルノートに記載されている指示に従います。

解決方法

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 入手方法
Adobe Flash Player デスクトップランタイム
21.0.0.242 Windows および Macintosh
1

Flash Player ダウンロードセンター

Flash Playerの配布

Adobe Flash Player 継続サポートリリース 18.0.0.352 Windows および Macintosh
1 継続サポート
Google Chrome 用の Adobe Flash Player 21.0.0.242 Windows、Macintosh、Linux および ChromeOS   1 Google Chrome リリース
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 21.0.0.242 Windows 10 および 8.1 1 Microsoft セキュリティアドバイザリ
Linux 向け Adobe Flash Player 11.2.202.621 Linux 3 Flash Player ダウンロードセンター
AIRデスクトップランタイム 21.0.0.215 Windows および Macintosh 3 AIR ダウンロードセンター
AIR SDK 21.0.0.215 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
AIR SDK & Compiler 21.0.0.215 Windows、Macintosh、AndroidおよびiOS 3 AIR SDK ダウンロード
  • Windows および Macintosh 用の Adobe Flash Player Desktop Runtime をご利用のお客様は、製品内で表示されるアップデートメカニズムを使用して [1]、または Adobe Flash Player ダウンロードセンター から 21.0.0.242 にアップデートすることをお勧めします。
  • Adobe Flash Player の継続サポートリリースをご利用のお客様には、http://helpx.adobe.com/jp/flash-player/kb/archived-flash-player-versions.html から Adobe Flash Player 18.0.0.352 をダウンロードしてアップデートすることを推奨します。
  • Linux 版の Adobe Flash Player をご利用のユーザーの皆様には、Adobe Flash Player ダウンロードセンターから Adobe Flash Player 11.2.202.621 をダウンロードしアップデートすることを推奨します。
  • Google Chrome とともにインストールされた Adobe Flash Player については、Windows、Macintosh、Linux および Chrome OS については、Adobe Flash Player 21.0.0.242 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
  • Windows 10 および 8.1 用の Microsoft Edge および Internet Explorer とともにインストールされた Adobe Flash Player については、Adobe Flash Player 21.0.0.242 を含む最新バージョンへのアップデートが自動的に行われます。 
  • AIR デスクトップランタイム、AIR SDK、AIR SDK およびコンパイラをご使用のお客様には、AIR ダウンロードセンター または AIR デベロッパーセンターを参照し、バージョン 21.0.0.215 へアップデートすることをお勧めしています。
  • Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。

[1] 「アップデートがある場合に自動的にインストールする」のオプションを選択した Windows 版の Flash Player 11.2.x またはそれ以後、あるいは Macintosh 版の Flash Player 11.3.x またはそれ以後をご利用中のユーザーは自動的にアップデートが適用されます。 「アップデートがある場合に自動的にインストールする」のオプションが選択されていない場合は、製品内蔵のアップデート機能から指示があった際に、この仕組みを利用してアップデートを適用できます。

脆弱性に関する詳細

  • これらのアップデートは、コード実行の原因になりかねない、入力の混乱の脆弱性を解消します(CVE-2016-1105、CVE-2016-4117)。
  • これらのアップデートは、コード実行の原因になりかねない、解放済みメモリ使用の脆弱性を解消します(CVE-2016-1097、CVE-2016-1106、CVE-2016-1107、CVE-2016-1108、CVE-2016-1109、CVE-2016-1110、CVE-2016-4108、CVE-2016-4110、CVE-2016-4121)
  • これらのアップデートは、コード実行の原因になりかねないヒープベースのバッファオーバーフローの脆弱性を解消します(CVE-2016-1101)。
  • このアップデートは、コード実行の原因になりかねない、バッファーオーバーフローの脆弱性を解消します(CVE-2016-1103)。
  • これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2016-1096、CVE-2016-1098、CVE-2016-1099、CVE-2016-1100、CVE-2016-1102、CVE-2016-1104、CVE-2016-4109、CVE-2016-4111、CVE-2016-4112、CVE-2016-4113、CVE-2016-4114、CVE-2016-4115、CVE-2016-4120、CVE-2016-4160, CVE-2016-4161、CVE-2016-4162、CVE-2016-4163)。
  • このアップデートは、コード実行の原因になりかねない、リソース検索に使用するディレクトリ検索パスの脆弱性を解消します(CVE-2016-4116)。

謝辞

  • Microsoft Vulnerability Research の Nicolas Joly 氏(CVE-2016-1108、CVE-2016-1109、CVE-2016-1110)
  • Chromium Vulnerability Rewards Program と Pangu LAB の Wen Guanxing 氏による協力(CVE-2016-1097)
  • Google Project Zero の Mateusz Jurczyk 氏、 Natalie Silvanovich 氏(CVE-2016-1096、CVE-2016-1101、CVE-2016-1102、CVE-2016-1103、CVE-2016-1104)
  • Pangu LAB の Wen Guanxing 氏(CVE-2016-1098、CVE-2016-1099、CVE-2016-1100)
  • Tencent PC Manager の willJ 氏(CVE-2016-4109、CVE-2016-4110、CVE-2016-4111、CVE-2016-4112、CVE-2016-4113、CVE-2016-4114、CVE-2016-4115)
  • CSIRT.SK の Ladislav Baco 氏(CVE-2016-4116)
  • Google Project Zero の Natalie Silvanovich 氏(CVE-2016-1105, CVE-2016-1106, CVE-2016-4108)
  • NSFOCUS Security Team(CVE-2016-1107)
  • FireEye, Inc. の Genwei Jiang 氏(CVE-2016-4117)
  • CloverSec Labs の bee13oy 氏(CVE-2016-4121)
  • Qihoo 360 Vulcan Team の Yuki Chen 氏(CVE-2016-4120、CVE-2016-4160、CVE-2016-4161、CVE-2016-4162、CVE-2016-4163)

更新履歴

2016年5月13日:Windows 10 および 8.1 で使用している Microsoft Edge およびInternet Explorer 11 向け Flash Player について、影響を受けるバージョンを 21.0.0.213 およびそれ以前 から 21.0.0.241 およびそれ以前 へ修正しました。

2016 年 5 月 19 日: CVE-2016-4120 と CVE-2016-4121 を追加しました。本件はこのリリースで解決済みですが、不手際にてこのお知らせの元バージョンで掲示漏れしたものです。 

2016 年 6 月 3 日: CVE-2016-4160、CVE-2016-4161、CVE-2016-4162 および CVE-2016-4163 を追加しました。本件はこのリリースで解決済みですが、不手際にてこのお知らせの元バージョンで掲示漏れしたものです。