セキュリティ速報
Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開
リリース日:2008年11月5日
脆弱性識別番号:APSB08-20
CVE番号:CVE-2008-4818、CVE-2008-4819、CVE-2008-4820、CVE-2008-4821、CVE-2008-4822、CVE-2008-4823
プラットフォーム:全プラットフォーム
概要
Adobe Flash Player 9.0.124.0およびそれ以前のバージョンに、攻撃者が悪用することによってFlash Playerのセキュリティ制御性を迂回することが可能になる、潜在的な脆弱性が存在することが確認されました。ユーザの皆様に対しては、ご利用中のプラットフォーム向けに提供されている最新バージョンのFlash Playerへのアップデートを推奨します。既にFlash Player 10.0.12.36へのアップデートを済ませている場合、必要な操作はありません。本セキュリティ速報に記された問題点、および以前セキュリティ速報APSB08-18、セキュリティ速報APSB08-22*に記されていた問題点は、Flash Player 9.0.151.0アップデートにて解決済みです。
更新履歴
2008年11月17日 – AIR 1.5アップデートおよびセキュリティ速報APSB08-22*に関する情報を更新
2008年11月5日 – セキュリティ速報初版作成
影響を受けるソフトウェアとバージョン
Adobe Flash Player 9.0.124.0およびそれ以前のバージョン。
Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe(またはMacromedia)Flash Playerについて」を選択します。複数のブラウザを利用している場合は、システム上にインストールされたブラウザごとに、この確認作業を行うようにしてください。
解決方法
アドビは、Adobe Flash Player 9.0.124.0およびそれ以前をご利用のすべてのユーザに対し、最新バージョン10.0.12.36へのアップグレードを推奨します。アップグレードは、Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても実行することができます。
何らかの理由でAdobe Flash Player 10へのアップグレードが困難なお客様に対しては、パッチが適用されたバージョンのFlash Player 9を用意しています。このパッチが適用済みのFlash Player 9.0.151.0はこちらのリンク*よりダウンロードできます。
緊急度
アドビは、以前セキュリティ速報APSB08-18にて公開されていた問題に基づく、この案件をクリティカルなアップデートと分類し、対象ユーザの皆様にバージョン10.0.12.36へのアップグレードを推奨します。
詳細
Flash Player 10.0.12.36およびFlash Player 9.0.151.0アップデートは、以前公開されたセキュリティ速報APSB08-18およびセキュリティ速報APSB08-22記載の問題点に加えて、以下の問題にも対処します。
本アップデートには、クロスサイトスクリプティング攻撃の恐れを取り除くために、Flash PlayerによるHTTPレスポンスヘッダ解読方法への変更が含まれています。(CVE-2008-4818)
本アップデートには、攻撃者がDNS再バインディング攻撃を仕掛ける際に悪用しかねない脆弱性を緩和するための変更が収録されています。(CVE-2008-4819)
本アップデートからは、HTMLインジェクション問題の可能性を防止するために、より厳格なActionScript属性の解釈方法が適用されます。(CVE-2008-4823)
本アップデートによって、ルート以外のドメインポリシーが迂回されることになりかねない、ポリシーファイルの解釈方法が防止されます。(CVE-2008-4822)
本アップデートによって、Mozillaブラウザ上のjar:プロトコルがFlash Playerによって解読される際に、情報が開示される恐れのある問題を回避できます。(CVE-2008-4821)
本アップデートによって、Windows版のFlash Player ActiveXコントロール内で、情報が開示される恐れのある問題を回避できます。(CVE-2008-4820)
謝辞
一連の問題を指摘し、ユーザのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
