Flash Player 用のセキュリティアップデート公開 | APSB18-19
情報 ID 公開日 優先度
APSB18-19 2018年6月7日 1

概要

Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player 29.0.0.171 以前のバージョンのクリティカルな脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

弊社では、CVE-2018-5002 がすでにWindows ユーザーを対象とする限定的な標的型攻撃に使用されているという報告を認識しています。これらの攻撃は、電子メールを介して配布する悪質な Flash Player コンテンツが埋め込まれた Office 文書を悪用します。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Flash Player デスクトップランタイム 29.0.0.171 とそれ以前のバージョン Windows、macOS および Linux
Google Chrome 用の Adobe Flash Player 29.0.0.171 とそれ以前のバージョン Windows、macOS、Linux および Chrome OS 
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.171 とそれ以前のバージョン Windows 10 および 8.1

ご利用中のシステムにインストールされている Adobe Flash Player のバージョンを確認するには、Flash Player についてのページにアクセスするか、Flash Player で実行中のコンテンツを右クリックし、メニューから「Adobe (または Macromedia) Flash Player について」を選択します。複数のブラウザーを利用している場合は、システムにインストールされているブラウザーごとに、この確認作業を行うようにしてください。

解決方法

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 バージョン プラットフォーム 優先度 入手方法
Adobe Flash Player デスクトップランタイム 30.0.0.113 Windows、macOS 1

Flash Player ダウンロードセンター

Flash Playerの配布

Google Chrome 用の Adobe Flash Player 30.0.0.113 Windows、macOS、Linux、および Chrome OS  1
Google Chrome リリース
Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 30.0.0.113 Windows 10 および 8.1 1
Microsoft セキュリティアドバイザリ
Adobe Flash Player デスクトップランタイム 30.0.0.113 Linux 3 Flash Player ダウンロードセンター

注意:

  • Windows、macOS および Linux 用の Adobe Flash Player Desktop Runtime をご利用のお客様は、製品内のアップデートメカニズムを使用して [1]、または Adobe Flash Player ダウンロードセンターから Adobe Flash Player 30.0.0.113 にアップデートすることをお勧めします。
  • Google Chrome と併せてインストールされた Adobe Flash Player は、Windows、macOS、Linux および Chrome OS については、Adobe Flash Player 30.0.0.113 が組み込まれる Google Chrome 最新バージョンへのアップデートが自動的に行われます。
  • Windows 10 および 8.1 用の Microsoft Edge および Internet Explorer 11 と併せてインストールした Adobe Flash Player については、Adobe Flash Player 30.0.0.113 を含む最新バージョンへのアップデートが自動的に行われます。
  • Flash Player のインストール方法については、Flash Player ヘルプページを参照してください。

[1] 「アップデートがある場合に自動的にインストールする」オプションが選択されている場合、アップデートは自動的に受信されます。「アップデートがある場合に自動的にインストールする」のオプションが選択されていない場合は、製品内蔵のアップデート機能から指示があった際に、この仕組みを利用してアップデートを適用できます。

脆弱性の詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
型の混同 (Type Confusion) 任意のコード実行 クリティカル CVE-2018-4945
整数オーバーフロー
情報漏えい
重要
CVE-2018-5000
境界を越えた読み取り
情報漏えい
重要
CVE-2018-5001
スタックベースバッファオーバーフロー
任意のコード実行
クリティカル CVE-2018-5002

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative と Tencent KeenLab の Jihui Lu 氏と Tencent PC Manager のwillJ 氏 による協力(CVE-2018-4945)

  • Trend Micro の Zero Day Initiative 経由で報告をお寄せいただいた匿名の協力者様(CVE-2018-5000、CVE-2018-5001) 

  • CVE-2018-5002 については、次の組織および個人が独自に特定して報告をお寄せいただきました。 ICEBRG の Chenming Xu 氏と Jason Jones 氏、360 Enterprise Security Group の 360 Threat Intelligence Center の Bai Haowen 氏、Zeng Haitao 氏と Huang Chaowen 氏、Qihoo 360 Core Security (@360CoreSec)の Yang Kang 氏、Hu Jiang 氏、Zhang Qing 氏と Jin Quan 氏、Tencent PC Manager (http://guanjia.qq.com/