この公開文書は「Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat*」の抄訳です。

リリース日: 2011 年 4 月 11 日

最終更新日: 2011 年 4 月 15 日

脆弱性識別番号:APSA11-02

CVE番号:CVE-2011-0611

プラットフォーム:詳細は、以下の「影響を受けるソフトウェアとバージョン」セクションを参照してください。

概要

Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。

この脆弱性 (CVE-2011-0611) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。この脆弱性を悪用し、Windows プラットフォームを標的として、メールの添付ファイルとして送信された Microsoft Word 内に埋め込まれた Flash ファイル (.swf) を経由して攻撃が行われているという事例が報告されています。現時点では、Acrobat および Adobe Reader を標的として、PDF を経由して攻撃が行われた事例は確認されていません。これらの脆弱性を利用した攻撃は、Adobe Reader X の保護モードによって阻止されます。

Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前) のユーザーに対し、Flash Player 10.2.159.1 (Chrome の場合は 10.2.154.27) にアップデートすることを推奨します。Windows、Macintosh、Linux 版 Adobe AIR 2.6.19120 とそれ以前のバージョンのユーザーについては、Adobe AIR 2.6.19140 にアップデートすることを推奨します。Android 版 Adobe Flash Player 10.2.156.12 以前のバージョンを 2011 年 4 月 25 日(米国時間)の週までにはアップデーターをリリースする予定です。詳細についてはセキュリティ情報 APSB11-07を参照ください。

Windows、Macintosh 版の Adobe Acrobat X (10.0.2) 以前の 10.x および 9.x、Macintosh 版の Adobe Reader X (10.0.1)、および Windows、Macintosh 版のAdobe Reader 9.4.3 以前の 9.x のアップデート公開は 2011 年 4 月 25 日の週よりも遅くならずに予定しています。Adobe Reader X の保護モードによって、これらの脆弱性を悪用した攻撃は阻止されるため、Windows 版 Adobe Reader X については、次回のクォータリーアップデート (2011 年 6 月 14 日予定) においてこの問題の修正を行う予定です。

影響を受けるソフトウェアとバージョン

  • Windows 版、Macintosh 版、Linux 版、Solaris オペレーティングシステム版の Flash Player 10.2.153.1 とそれ以前のバージョン
  • Chrome 用 Flash Player 10.2.154.25 とそれ以前のバージョン
  • Android 版の Flash Player 10.2.156.12 とそれ以前のバージョン
  • Windows、Macintosh オペレーティングシステム版の Adobe Reader X(10.0.2)/Acrobat X(10.0.2)と 10.x および 9.x それ以前のバージョン)に搭載の authplay.dll コンポーネント

*注意: UNIX 版 Adobe Reader 9.x、Android 版のAdobe Reader、および Adobe Reader/Acrobat 8.x はこの問題による影響はありません。

緊急度

アドビは、この問題をクリティカルな案件として分類しています。

詳細

Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。

この脆弱性 (CVE-2011-0611) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。この脆弱性を悪用し、Windows プラットフォームを標的として、メールの添付ファイルとして送信された Microsoft Word 内に埋め込まれた Flash ファイル (.swf) を経由して攻撃が行われているという事例が報告されています。現時点では、Acrobat および Adobe Reader を標的として、PDF を経由して攻撃が行われた事例は確認されていません。これらの脆弱性を利用した攻撃は、Adobe Reader X の保護モードによって阻止されます。

Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前) のユーザーに対し、Flash Player 10.2.159.1 (Chrome の場合は 10.2.154.27) にアップデートすることを推奨します。Windows、Macintosh、Linux 版 Adobe AIR 2.6.19120 とそれ以前のバージョンのユーザーについては、Adobe AIR 2.6.19140 にアップデートすることを推奨します。Android 版 Adobe Flash Player 10.2.156.12 以前のバージョンを 2011 年 4 月 25 日(米国時間)の週までにはアップデーターをリリースする予定です。詳細についてはセキュリティ情報 APSA11-07を参照ください。

Windows、Macintosh 版の Adobe Acrobat X (10.0.2) 以前の 10.x および 9.x、Macintosh 版の Adobe Reader X (10.0.1)、および Windows、Macintosh 版のAdobe Reader 9.4.3 以前の 9.x のアップデート公開は 2011 年 4 月 25 日の週よりも遅くならずに予定しています。Adobe Reader X の保護モードによって、これらの脆弱性を悪用した攻撃は阻止されるため、Windows 版 Adobe Reader X については、次回のクォータリーアップデート (2011 年 6 月 14 日予定) においてこの問題の修正を行う予定です。

Adobe Product Security Incident Team のブログから最新の情報を取得することができます。

URL : http://blogs.adobe.com/psirt

RSS : http://blogs.adobe.com/psirt/atom.xml

弊社では、この問題およびその他の脆弱性について、セキュリティコミュニティにおいてパートナーと積極的に情報を共有し、パッチが公開されるまでの間ユーザーを保護するために、脆弱性を検出して隔離する方法を迅速に開発できるよう努めています。これまでと同様に弊社では、セキュリティの最善の対策として、アンチマルウェアソフトウェアおよびその定義ファイルを最新の状態に保つことを推奨します。

謝辞

アドビは、ユーザーのセキュリティ保護にご協力いただいた Mila Parkour 氏 (http://contagiodump.blogspot.com) に対し、感謝の意を表明します。

更新履歴

2011 年 4 月 15 日 - Flash Player アップデータ公開に関する情報更新

2011 年 4 月 14 日 - Google Chromeに関する情報更新

2011 年 4 月 13 日 - スケジュール情報更新

2011 年 4 月 11 日 - セキュリティ情報公開

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー