Adobe Flash Player に関するセキュリティアップデート公開

リリース日: 2017 年 2 月 14 日

最終更新日: 2017年4月13日

脆弱性識別番号: APSB17-04

優先度:以下の表を参照してください

CVE 番号: CVE-2017-2982、CVE-2017-2984、CVE-2017-2985、CVE-2017-2986、CVE-2017-2987、CVE-2017-2988、CVE-2017-2990、CVE-2017-2991、CVE-2017-2992、CVE-2017-2993、CVE-2017-2995、CVE-2017-2996

プラットフォーム: Windows、Macintosh、Linux、および Chrome OS

概要

Windows 版、Macintosh 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。

対象のバージョン

製品名 対象のバージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 24.0.0.194 以前 Windows、Macintosh および Linux
Google Chrome 用の Adobe Flash Player 24.0.0.194 以前 Windows、Macintosh、Linux および Chrome OS
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 24.0.0.194 以前 Windows 10 および 8.1
  • ご利用中のシステムにインストールされている Adobe Player のバージョンを確認するには、Adobe Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツ上を右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。 複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。

解決方法

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 入手方法
Adobe Flash Player デスクトップランタイム 24.0.0.221 Windows および Macintosh 1 Flash Player ダウンロードセンター
Flash Player の配布
Google Chrome 用の Adobe Flash Player 24.0.0.221  Windows、Macintosh、Linux および Chrome OS 1 Google Chrome リリース
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 24.0.0.221 Windows 10 および 8.1 1 Microsoft セキュリティアドバイザリ
Adobe Flash Player デスクトップランタイム 24.0.0.221 Linux 3 Flash Player ダウンロードセンター
  • Windows、Macintosh および Linux 用の Adobe Flash Player Desktop Runtime をご利用のお客様は、製品内のアップデートメカニズムを使用して [1]、または Adobe Flash Player ダウンロードセンターから Adobe Flash Player 24.0.0.221 にアップデートすることをお勧めします。
  • Google Chrome と併せてインストールした Adobe Flash Player の場合、Windows、Macintosh、Linux および Chrome OS については、Adobe Flash Player 24.0.0.221 を含む最新バージョンの Google Chrome へのアップデートが自動的に行われます。
  • Windows 10 および 8.1 用の Microsoft Edge および Internet Explorer 11 と併せてインストールした Adobe Flash Player については、Adobe Flash Player 24.0.0.221 を含む最新バージョンへのアップデートが自動的に行われます。
  • Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。

[1] 「アップデートがある場合に自動的にインストールする」のオプションを選択した Windows 版の Flash Player 11.2.x またはそれ以降、あるいは Macintosh 版の Flash Player 11.3.x またはそれ以降をご利用中のユーザーは自動的にアップデートが適用されます。「アップデートがある場合に自動的にインストールする」のオプションを選択されていない場合は、製品内蔵のアップデート機能から指示があった際に、この仕組みを利用してアップデートを適用できます。

脆弱性に関する詳細

  • これらのアップデートでは、コード実行の原因になりかねない、タイプの混乱の脆弱性を解消します(CVE-2017-2995)。
  • これらアップデートでは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します(CVE-2017-2987)。
  • これらのアップデートは、コード実行の原因になりかねない、解放後の使用の脆弱性を解消します(CVE-2017-2982、CVE-2017-2985、CVE-2017-2993)。
  • これらのアップデートでは、コード実行の原因になりかねない、ヒープバッファーオーバーフローの脆弱性を解消します(CVE-2017-2984、CVE-2017-2986、CVE-2017-2992)。
  • これらのアップデートでは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2017-2988、CVE-2017-2990、CVE-2017-2991、CVE-2017-2996)。

謝辞

一連の問題を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Google Project Zero の Mateusz Jurczyk 氏と Natalie Silvanovich 氏(CVE-2017-2985、CVE-2017-2986、CVE-2017-2988、CVE-2017-2992)。
  • Microsoft Vulnerability Research の Nicolas Joly 氏(CVE-2017-2993)
  • Palo Alto Networks の Tao Yan 氏(CVE-2017-2982、CVE-2017-2996)
  • Fortinet's FortiGuard Labs の Kai Lu 氏と Chromium Vulnerability Rewards Program による協力(CVE-2017-2984、CVE-2017-2990、CVE-2017-2991)。
  • Trend Micro の Zero Day Initiative と bo13oy of CloverSec Labs による協力(、CVE-2017-2995)

これらの問題点を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • FireEye の Dhanesh Kizhakkinan 氏および TrendMicro の Peter Pi 氏(CVE-2015-5122)
  • TrendMicro の Peter Pi 氏および slipstream/RoL (@TheWack0lian)(CVE-2015-5123)

更新履歴

2017 年 4 月 13 日: CVE-2017-2994 への参照を削除しました。この参照は情報に誤って追加されたものです。CVE-2017-2994 の参照をこのリリースから APSB17-07 に移行