Copyright © 2009 Adobe Systems Incorporated. All Rights Reserved.
当Webサイトをご利用のお客様は、利用規約にご同意いただいたものとみなされます。
Search powered by Google™
* 英文のみ
リリース日: 2007年12月18日
脆弱性識別番号: APSB07-20
CVE番号: CVE-2007-6242, CVE-2007- 4768, CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6244, CVE-2007- 6245, CVE-2007-4324, CVE-2007- 6246, CVE-2007-5476
プラットフォーム: 全プラットフォーム
影響を受けるソフトウェアとバージョン: Adobe Flash Player 9.0.48.0およびそれ以前、8.0.35.0およびそれ以前、7.0.70.0およびそれ以前
Adobe Flash Playerにクリティカルな脆弱性が発見されました。攻撃者がこの潜在的な脆弱性を悪用することに成功した場合、当該システムが攻撃者によって制御される恐れがあります。 この脆弱性は、エンドユーザが作為的なSWFファイルをFlash Playerに読み込ませることによって、攻撃者に悪用される恐れがあります。 Flash Playerをご利用のお客様には、当該プラットフォーム用の最新バージョンのFlash Playerへのアップデートを推奨します。
Adobe Flash Player 9.0.48.0およびそれ以前、8.0.35.0およびそれ以前、7.0.70.0およびそれ以前
Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe(またはMacromedia)Flash Playerについて」を選択します。 複数のブラウザを利用している場合は、システム上にインストールされたブラウザごとに、この確認作業を行うようにしてください。
Adobe Flash Player 9.0.48.0およびそれ以前のバージョンをご利用のお客様には、最新バージョンの9.0.115.0(Win版、Mac版およびLinux版)へのアップグレードを推奨します。最新バージョンは、Playerダウンロードセンターよりダウンロードできるほか、Flash Player内蔵の自動更新機能を利用しても入手できます。
何らかの理由でAdobe Flash Player 9へのアップグレードが困難なお客様に対しては、Flash Player 7に対するパッチも用意しています。 詳しくは、Flash Playerアップデートのテクニカルノートを参照してください。
アドビ システムズ社では、このアップデートの重要度をクリティカルと分類し、対象ユーザの皆様にFlash Playerバージョン9.0.115.0(Win版、Mac版、Linux版)へのアップグレードを推奨します。
Flash Player 9.0.48.0および下位バージョンで、複数の入力認証エラーが確認されました。この問題により任意のコードが実行される可能性があります。これらの脆弱性は、ユーザのWebブラウザ、電子メールクライアントまたはFlash Playerを内蔵・参照する他のアプリケーションを経由して遠隔地から配布された、悪質なコンテンツを介して悪用される可能性があります。(CVE-2007- 4768, CVE-2007-6242)
本アップデートには、攻撃者がDNS再バインディング攻撃を仕掛ける際に悪用されかねない脆弱点を緩和するための機能性が収録されています。 この問題について詳しくは、こちらのAdobeデベロッパーセンター記事を参照してください。 (CVE-2007-5275)
本アップデートには、Flash Playerがクロスドメインポリシーファイルの解読時に利用する、より厳格な最新の基準が収録されています。 この変更は、Flashコンテンツとクロスドメインポリシーファイルが配置されたWebサーバへの権限昇格攻撃の防止に役立ちます。 この問題について詳しくは、こちらのAdobeデベロッパーセンター記事を参照してください。 (CVE-2007- 6243)
本アップデートは、サポート対象外であるasfunction:プロトコルを制限し、一部のSWFファイルで起こり得るクロスサイトスクリプティング問題に対処します。この問題はFlash Player 8およびFlash Player 9に影響するものであり、Flash Player 7には影響しません。 (CVE-2007-6244)
本アップデートには、ユニバーサルクロスサイトスクリプティング攻撃の防止を目的としたnavigateToURL関数への変更が含まれています。 この問題はFlash Player ActiveXコントロールとInternet Explorerブラウザのみに影響を及ぼします。 (CVE-2007-6244)
本アップデートは、リモート攻撃者がクライアントリクエストのHTTPヘッダを改ざんし、HTTPリクエストスプリッティング攻撃を仕掛ける上で悪用されかねない問題点を解消します。 (CVE-2007-6245)
本アップデートには、ポートスキャン問題が発生する可能性を緩和するための機能性が収録されています。 この問題について詳しくは、こちらの技術文献*を参照してください。(CVE-2007-4324)
Linux版Flash Player用のアップデートには、権限昇格問題の原因になりかねない、メモリの権限に関する問題への対処が含まれています。 (CVE-2007-6246)
Mac版Flash Player用のアップデートには、Opera社によって指摘されていた問題への対処が含まれています。この問題の詳細は、セキュリティ情報APSA07-05にて解説されています。 (CVE-2007-5476)
| 対象製品 | 推奨されるPlayerアップデート | 提供状況 |
|---|---|---|
| Flash Player 9.0.48.0以前 | 9.0.115.0 | Playerダウンロードセンター |
| Flash Player 9.0.48.0以前 - ネットワーク配布向け | 9.0.115.0 | Playerライセンシング* |
| Flash CS3 Professional | 9.0.115.0 | Flash CS3 Professional用Flash Player 9アップデート |
| Linux版Flash Player 9.0.48.0以前 | 9.0.115.0 | Playerダウンロードセンター |
| Flex 2.0 | 9.0.115.0 | Flash Debug Playerアップデータ* |
アドビ システムズ社では、このセキュリティ速報の公開をもって、Adobe Flash Player 7のサポートを終了させていただきました。今後、Flash Player 7を対象としたセキュリティアップデートの提供予定はありません。 Adobe Flash Playerのテクニカルサポート対象バージョンは、現行バージョンとその直前のメジャーバージョンです。 Flash Player 7に関しては、これまで、2005年9月にリリースされたFlash Player 8によってサポート対象外となったMicrosoft Windows 95、Microsoft Windows /NT、Macintosh Classicオペレーティングシステムの使用ユーザに対するサービスとして、セキュリティフィックスを通じたアップデートが提供されていました。また、Flash Player 9が公開されるまでの間、LinuxおよびSolarisの使用ユーザに対するサービスとしても、Flash Player 7へのサービスパック提供が行われていました。引き続き、Adobe Flash Player 7の使用を希望するユーザは、アーカイブ済みFlash Playerに関するテクニカルノートを通じて、旧バージョンのインストーラを入手することができます。
入力認証エラー問題を指摘し、お互いの顧客のセキュリティ保護に協力してくださったGoogleセキュリティチーム*のTavis Ormandy氏とWill Drewry氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007- 4768)
入力認証エラー問題を指摘し、お互いの顧客のセキュリティ保護に協力してくださったTippingPoint DVLabs*社のAaron Portnoy氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-6242)
DNS再バインディング問題を指摘し、顧客のセキュリティ保護に協力してくださったスタンフォード大学*のDan Boneh氏、Adam Barth氏、Andrew Bortz氏、Collin Jackson氏、Weidong Shao氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-5275)
クロスドメインポリシーファイルの問題点とHTTPヘッダの問題点を指摘し、ユーザのセキュリティ保護に協力してくださった株式会社 ユービーセキュアの杉山俊春氏および JPCERT/CCに対し、アドビより厚く御礼を申し上げます (CVE-2007- 6243, CVE-2007- 6245)
asfunction:の問題点を指摘し、お互いの顧客のセキュリティ保護に協力してくださったGoogleセキュリティチーム*のRich Cannings氏に対し、アドビより厚く御礼を申し上げます。(CVE-2007- 6244)
navigateToURLの問題点を指摘し、ユーザのセキュリティ保護に協力してくださったスタンフォード大学*のCollin Jackson氏とAdam Barth氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007- 6244)
Linux版Flash Playerの権限昇格問題を指摘し、ユーザのセキュリティ保護に協力してくださったSUSE*のJesse Michael氏とThomas Biege氏に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-6246)
Mac版Flash Playerの問題点を指摘し、相互の顧客のセキュリティ保護に協力してくださったOpera*社に対し、アドビより厚く御礼を申し上げます。 (CVE-2007-5476)
Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。
本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
2008年1月29日 - Solaris版の配布開始に伴うセキュリティ速報更新
2007年12月18日 - セキュリティ速報公開
Copyright © 2009 Adobe Systems Incorporated. All Rights Reserved.
当Webサイトをご利用のお客様は、利用規約にご同意いただいたものとみなされます。
Search powered by Google™
* 英文のみ
