1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開

リリース日：2009年２月24日

脆弱性識別番号：APSB09-01

CVE番号：CVE-2009-0519、CVE-2009-0520、CVE-2009-0522、CVE-2009-0114、CVE-2009-0521

プラットフォーム：全プラットフォーム

概要

Adobe Flash Player 10.0.12.36およびそれ以前に潜在的な脆弱性が存在することが発見されました。攻撃者がこの潜在的な脆弱性を悪用することに成功した場合、当該システムが攻撃者によって制御される恐れがあります。この脆弱性は、エンドユーザが作為的なSWFファイルをFlash Playerに読み込ませることによって、攻撃者に悪用される恐れがあります。なお、本アップデートは他の追加的な脆弱性も解消します。ユーザの皆様に対しては、ご利用中のプラットフォーム向けに提供されている最新バージョンのFlash Playerへのアップデートを推奨します。

影響を受けるソフトウェアとバージョン

Adobe Flash Player 10.0.12.36およびそれ以前（Linux版はAdobe Flash Player 10.0.15.3およびそれ以前）

Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe（またはMacromedia）Flash Playerについて」を選択します。複数のブラウザを利用している場合は、システム上にインストールされたブラウザごとに、この確認作業を行うようにしてください。

解決方法

アドビは、Adobe Flash Player 10.0.12.36およびそれ以前をご利用のすべてのユーザに対し、最新バージョン10.0.22.87へのアップグレードを推奨します。アップグレードは、Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても実行することができます。

何らかの理由でAdobe Flash Player 10へのアップグレードが困難なお客様に対しては、パッチが適用されたバージョンのFlash Player 9を用意しています。パッチ適用済みのFlash Player 9.0.159.0は、こちらのリンクよりダウンロードできます。

緊急度

アドビはこの問題をクリティカルなアップデートと分類し、対象ユーザの皆様にバージョン10.0.22.87へのアップグレードを推奨します。

詳細

このアップデートは、攻撃者に任意のコード実行を許可する恐れのあるバッファオーバフロー問題を解消します。（CVE-2009-0520）

このアップデートは、サービス拒否（DoS）につながりかねない入力検証時の問題を解消します。任意のコードが実行されたことは証明されていませんが、可能である恐れがあります。（CVE-2009-0519）

Flash Playerを対象としたクリックジャッキング問題の変形型が発生する恐れを回避するために、Adobe.comのFlash Player設定マネージャ表示ページにアップデートが適用されています。設定マネージャはアドビのWebサイト内に表示され、アドビのWebサイトからアクセスすることができるものの、ローカルコンピュータ上で実行される特殊なコントロールパネルです。（CVE-2009-0114）

このアップデートはWindows版のクリックジャッキング攻撃につながりかねない、マウスポインタの表示に関する問題を解消します。（CVE-2009-0522）

このアップデートは権限昇格問題につながりかねない、Linux版特有のFlash Playerバイナリの情報公開問題を解消します。（CVE-2009-0521）

影響を受けるソフトウェア	推奨されるPlayerアップデート	提供状況
Flash Player 10.0.12.36およびそれ以前	10.0.22.87	Playerダウンロードセンター
Flash Player 10.0.12.36およびそれ以前 - ネットワーク配布向け	10.0.22.87	Playerライセンシング
Linux版Flash Player 10.0.15.3およびそれ以前	10.0.22.87	Playerダウンロードセンター
AIR 1.5	AIR 1.5.1	AIRダウンロードセンター
Flash CS4 Professional	10.0.22.87	Flash CS4 Professional用Adobe Flash Player 10アップデート
Flash CS3 Professional	9.0.159.0	Flash Debug Playerアップデータ
Flex 3	10.0.22.87	Flash Debug Playerアップデータ

 

謝辞

一連の問題を指摘し、ユーザのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• IBM Rational Application Security*のRoee Hay氏（CVE-2009-0519）

• iDefense VCP関係者のJavier Vicente Vallejo*氏（CVE-2009-0520）

• TopsecTianRongXin*のLiu Die Yu氏（CVE-2009-0114）
• Eduardo Vela*氏（CVE-2009-0522）
• Red Hat*のJosh Bressers氏およびGoogleセキュリティチーム*のTavis Ormandy氏（CVE-2009-0521）