リリース日: 2007年7月10日
脆弱性識別番号: APSB07-12
CVE番号: CVE-2007-3456, CVE-2007-3457, CVE-2007-2022
プラットフォーム: 全プラットフォーム
Adobe Flash Playerにクリティカルな脆弱性が発見されました。攻撃者がこの潜在的な脆弱性を悪用することに成功した場合、当該システムが攻撃者によって制御される恐れがあります。 この脆弱性は、エンドユーザが作為的なSWFファイルをFlash Playerに読み込ませることによって、攻撃者に悪用される恐れがあります。 Flash Playerをご利用のお客様には、当該プラットフォーム用の最新バージョンのFlash Playerへのアップデートを推奨します。
Adobe Flash Player 9.0.45.0以前、8.0.34.0以前、7.0.69.0以前
Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe(またはMacromedia)Flash Playerについて」を選択します。複数のブラウザを利用している場合は、システム上にインストールされたブラウザごとに、この確認作業を行うようにしてください。
Adobe Flash Player 9.0.45.0以前をご利用のお客様には、Playerダウンロードセンターより最新バージョンの9.0.47.0(Win、Mac、Solaris)または9.0.48.0(Linux)をダウンロードして、Flash Playerをアップグレードすることを推奨しています。なおこのアップグレードは、製品内の自動更新機能を利用しても行えます。
何らかの理由でAdobe Flash Player 9へのアップグレードが困難なお客様に対しては、Flash Player 7に対するパッチも用意しています。 詳しくは、Flash Playerアップデートのテクニカルノートを参照してください。
アドビはこの問題の重要度をクリティカルと分類し、対象ユーザの皆様がFlash Playerをバージョン9.0.47.0(Win、Mac、Solaris)または9.0.48.0(Linux)にアップグレードすることを推奨します。
9.0.45.0以前のバージョンのFlash Playerに対する入力検証エラーが確認されました。この問題により任意のコードが実行される恐れがあります。 この脆弱性は、遠隔地からユーザのWebブラウザや電子メールクライアント、またはFlash Playerを含む・参照する他のアプリケーション経由で提供されるコンテンツを介して、悪用される可能性があります。 (CVE-2007-3456)
Flash Player 8.0.34.0以前において、HTTP参照元の検証機能が十分ではない問題が確認されました。 この問題はFlash Player 9に影響しません。 この問題により、攻撃者がクロスサイトリクエスト偽造攻撃を行えるようになる可能性があります。 (CVE-2007-3457)
Linux・Solaris版Flash Player 7用のアップデート(7.0.70.0)は、セキュリティ情報APSA07-03に掲載されたFlash PlayerとOperaおよびKonquerorブラウザの問題を解決します。 なお、これらの問題はLinux・Solaris版のFlash Player 9には影響を及ぼしません。 (CVE-2007-2022)
| 対象製品 | 推奨されるPlayerアップデート | 提供状況 |
|---|---|---|
| Flash Player 9.0.45.0以前 | 9.0.47.0 | Playerダウンロードセンター |
| Flash Player 9.0.45.0以前-ネットワーク配布 | 9.0.47.0 | Playerライセンシング* |
| Flash Player 9.0.45.0以前(Linux版) | 9.0.48.0 | Playerダウンロードセンター |
| Flash CS3 Professional | 9.0.47.0 | Flash CS3 Professional用Flash Player 9アップデート* |
| Flash Professional 8、Flash Basic | 8.0.35.0 | Flash Professional 8、Flash Basic用Flash Player 8アップデート |
| Flex 2.0 | 9.0.47.0 | Flash Debug Playerアップデータ* |
入力検証エラー(CVE-2007-3456)を指摘し、ユーザのセキュリティ保護に協力してくださったStefano DiPaola氏、Elia Florio氏、Giorgio Fedon氏に対し、アドビより厚く御礼を申し上げます。
HTTP参照元に関する脆弱性(CVE-2007-3457)を指摘し、ユーザのセキュリティ保護に協力してくださった株式会社セキュアスカイ・テクノロジーの福森大喜氏に対し、アドビより厚く御礼を申し上げます。
セキュリティ情報APSA07-03(CVE-2007-2022)に掲載済みのFlash PlayerとOperaおよびKonquerorブラウザに関する問題点を指摘し、Operaと共同で相互のユーザのセキュリティ保護に協力してくださったMark Hills氏に対し、アドビより厚く御礼を申し上げます。
2007年7月10日 - セキュリティ情報初版作成
Adobe Systems Incorporatedまたはその子会社(「アドビ社」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客樣にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。
本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
