セキュリティ速報
Adobe Flash Player8.0.24.0および下位バージョンの複数脆弱性
リリース日:2006年9月12日
脆弱性識別番号:APSB06-11
CVE番号:CVE-2006-3014、CVE-2006-3311、CVE-2006-3587、CVE-2006-3588、CVE-2006-4640
プラットフォーム:全プラットフォーム
概要
Flash Player 8.0.24.0および下位バージョンに重大な脆弱性が発見されました。攻撃者はこの脆弱性を突いてシステムを制御することができます。ユーザが悪意あるSWFファイルを Flash Playerにロードしないかぎりこの脆弱性が悪用されることはありません。お使いのプラットフォーム用のFlash Playerを最新版にアップデートされることを推奨します。
解決方法
アドビでは、Flash Player 8.0.24.0および下位バージョンのユーザの皆様に、Playerダウンロードセンターからの最新バージョン9.0.16.0のダウンロードとアップグレードを推奨します。アップグレードは、製品内の自動更新画面で行うこともできます。
Flash Player 9へアップグレードできない方は、Flash Playerのアップデートに関するテクニカルノートを参照してください。
アドビでは、企業内イントラネット、または他のソフトウェア製品・サービスを介しての再配布用に、Flash Playerのライセンスを無償で提供しています。ライセンスについての詳しい情報とお申し込みについては、こちら*をご覧ください。
Flash Playerのアップデートに関するテクニカルノートのガイダンスに従った操作が行えない、またはFlash Playerの新しいバージョンに移行できない、などアップデートに関する問題については、PSIRT@adobe.comのアドビセキュリティチームにご相談ください。
対象製品
Adobe Flash Player 8.0.24および下位バージョン
Flash Playerのバージョン番号をチェックするには、Adobe Flash Playerのページにアクセスするか、またはFlashコンテンツを右クリックし、メニューから「Macromedia Flash Playerについて」を選択してください。複数のブラウザをご利用の場合は、各ブラウザごとにチェックとインストールを行ってください。
重要度
アドビはこの問題を緊急を要するアップデートと分類し、対象ユーザの皆様にバージョン9.0.16.0へのアップグレードを推奨します。
詳細
Flash Player 8.0.24.0および下位バージョンで、複数の入力認証エラーが確認されました。この問題により任意のコードが実行される可能性があります。Flash Playerを含むか参照するユーザのWebブラウザ、電子メールクライアント、他のアプリケーションを経由してリモートで配布されたコンテンツを介して、これらの脆弱性が悪用される可能性があります。(CVE-2006-3311、CVE-2006-3587、CVE-2006-3588)
アップデートには「allowScriptAccess」オプションの迂回を防止する変更が含まれます。(CVE-2006-4640)
アップデートにはまた、Flash Player 7およびFlash Player 8のActiveXコントロールがWindowsプラットフォームのMicrosoft Office製品に呼び出された際の動作の変更も含まれます。これらは、Flash Player 9で導入された変更に類似するものです。(CVE-2006-3014)
Flash Player 8アップデート(8.0.33.0)およびFlash Player 7アップデート(7.0.66.0または7.0.68.0)は、Flash Playerの旧バージョンのセキュリティ脆弱性を修正するものです。Linux版およびSolaris版Flash Player 7のアップデートも、Adobe Playerダウンロードセンターから入手していただけます。
謝辞
Flash Player 9の最終発表に先立ってこの脆弱性(CVE-2006-3311)を指摘し、ユーザのセキュリティ保護に協力してくださったComputer Terrorism (UK) Ltd.*のStuart Pearson氏に、アドビより厚く御礼を申し上げます。
免責条項
使用許諾条件
Adobe Systems Incorporatedまたはその子会社(「アドビ社」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビシステムズ社のソフトウエア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウエア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウエア製品をダウンロードまたは使用することにより、お客樣にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。
本ソフトウエアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウエアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。 アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。 国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
