セキュリティ速報
Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開
リリース日:2008年10月15日
脆弱性識別番号:APSB08-18
CVE番号:CVE-2007-6243、CVE-2008-3873、CVE-2007-4324、CVE-2008-4401、CVE-2008-4503
プラットフォーム:全プラットフォーム
概要
Adobe Flash Player 9.0.124.0およびそれ以前のバージョンに、攻撃者が悪用することによってFlash Playerのセキュリティ制御性を迂回することが可能になる、潜在的な脆弱性が存在することが確認されました。 ユーザの皆様に対しては、ご利用中のプラットフォーム向けに提供されている最新バージョンのFlash Playerへのアップデートを推奨します。今回のセキュリティ強化および変更に伴って、既存コンテンツに影響が及ぶ可能性があります。ユーザの皆様には、こちらのアドビデベロッパーセンター記事を参照して、今回の変更点による既存コンテンツへの影響の有無を確認し、シームレスな移行を実現できるよう直ちに変更の適用を開始することをお勧めします。
本アップデートには、以前、セキュリティ速報APSA08-08にて公開されていた問題の対処策が含まれています。
影響を受けるソフトウェアとバージョン
Adobe Flash Player 9.0.124.0およびそれ以前のバージョン。
Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe(またはMacromedia)Flash Playerについて」を選択します。複数のブラウザを利用している場合は、システム上にインストールされたブラウザごとに、この確認作業を行うようにしてください。
解決方法
アドビは、Adobe Flash Player 9.0.124.0およびそれ以前をご利用のすべてのユーザに対し、最新バージョン10.0.12.36へのアップグレードを推奨します。アップグレードは、Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても実行することができます。また、Flash Player 10にアップグレードすることが不可能なFlash Player 9ユーザのために、11月前半にFlash Player 9のアップデートを提供する予定です。このセキュリティ速報ページは、Flash Player 9のアップデートが公開され次第、更新される予定です。
緊急度
アドビは、この問題をクリティカルなアップデートと分類し、対象ユーザの皆様にバージョン10.0.12.36へのアップグレードを推奨します。
詳細
今回のセキュリティ強化および変更に伴って、既存コンテンツに影響が及ぶ可能性があります。ユーザの皆様には、こちらのAdobe Developer Connection記事を参照して、今回の変更点による既存コンテンツへの影響の有無を確認し、シームレスな移行を実現できるよう直ちに変更の適用を開始することをお勧めします。
本アップデートには、Flash Playerの「クリックジャッキング」問題への対処策が含まれています。複数のWebブラウザで発生する恐れがある「クリックジャッキング」とは、攻撃者が、Webブラウザユーザに意図せぬリンクやダイアログのクリックを仕向ける問題です。本アップデートには、Flash Playerユーザのカメラおよびマイクに対するクリックジャッキング攻撃の予防策が含まれています。(CVE-2008-4503)
このアップデートには、Flash Playerによるクロスドメインポリシーファイルの扱い方に関する、新たな拡張・変更が含まれています。これらの変更は、Flashコンテンツおよびクロスドメインポリシーファイルが配置されたWebサーバに対する、権限昇格攻撃の防止に役立ちます。詳しくは、Adobe Developer Connection記事「Flash Player 10のセキュリティに関する変更について」のこちらの節を参照してください。(CVE-2007-6243)
本アップデートには、ポートスキャン問題が発生する可能性をさらに緩和するための機能が収録されています。詳しくは、こちらのAdobe Developer Connection記事を参照してください。(CVE-2007-4324)
本アップデートには、潜在的な「クリップボード攻撃」を防止するための、クリップボードAPIに対する変更が収録されています。詳しくは、Adobe Developer Connection記事「Flash Player 10のセキュリティに関する変更について」のこちらの節を参照してください。(CVE-2008-3873)
本アップデートには、FileReferenceアップロード・ダウンロードAPIが、ユーザの意図的な操作を求めるようにするための変更が収録されています。詳しくは、Adobe Developer Connection記事「Flash Player 10のセキュリティに関する変更について」のこちらの節を参照してください。 (CVE-2008-4401)
アドビでは、Flash Player 10にアップグレードすることが不可能なFlash Player 9ユーザのために、11月前半にFlash Player 9のアップデートを提供する予定です。このセキュリティ速報ページは、Flash Player 9のアップデートが公開され次第、更新される予定です。アドビが公表するすべてのセキュリティ脆弱性とその回避策は、アドビのセキュリティ通知サービスを通じて配信されています。 この通知サービスへは次のURLからご登録いただけます:http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert*また、最新情報は次のURLからアクセスできる、Adobe Product Security Incident Response Teamのブログでも確認することができます。http://blogs.adobe.com/psirt*
影響を受けるソフトウェア |
推奨されるPlayerアップデート |
提供状況 |
Flash Player 9.0.124.0およびそれ以前 |
10.0.12.36 |
Playerダウンロードセンター |
Flash Player 9.0.124.0およびそれ以前 - ネットワーク配布向け |
10.0.12.36 |
Playerライセンシング |
Linux版Flash Player 9.0.124.0およびそれ以前 |
10.0.12.36 |
Playerダウンロードセンター |
謝辞
クリックジャッキング脆弱性を指摘し、ユーザのセキュリティ保護にご協力いただいたSecTheory*のRobert Hansen氏、WhiteHat Security*のJeremiah Grossman氏、DotSpots*のEduardo Vela*氏およびMatthew Mastracci氏、TopsecTianRongXin*のLiu Die Yu氏に対し、アドビより厚く御礼を申し上げます。(CVE-2008-4503)
ポートスキャニング問題をご指摘いただいたSektionEins*のfukami氏に対し、アドビより厚く御礼を申し上げます。(CVE-2007-4324)
免責条項
使用許諾条件
Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
