1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

Adobe Flash Player、Adobe ReaderおよびAcrobat用セキュリティアップデート公開

リリース日：2009年7月30日

最終更新日：2009年8月3日

脆弱性識別番号：APSB09-10

CVE番号：CVE-2009-1862、CVE-2009-0901、CVE-2009-2495、CVE-2009-2493、CVE-2009-1863、CVE-2009-1864、CVE-2009-1865、CVE-2009-1866、CVE-2009-1867、CVE-2009-1868、CVE-2009-1869、CVE-2009-1870

プラットフォーム：全プラットフォーム

概要

Windows、Macintosh、LinuxおよびSolarisオペレーティングシステム用の現行バージョンのAdobe Flash Player（v9.0.159.0またはv10.0.22.87）と、Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat v9.xに付属するauthplay.dllコンポーネントに、クリティカルな脆弱性が存在することが確認されています。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

Adobe Flash Player 9.x、10.xおよびこれらより前のバージョンをご利用のお客様には、Adobe Flash Player 9.0.246.0および10.0.32.18にアップデートすることを推奨します。Adobe AIRのバージョン1.5.1以前をご利用のお客様には、Adobe AIR 1.5.2へのアップデートを推奨します。Adobe Reader 9、Acrobat 9およびこれらの以前のバージョンをご利用のお客様には、Adobe Reader 9.1.3およびAcrobat 9.1.3へのアップデートを推奨します。

メモ：定例外の今回のAdobe ReaderおよびAcrobatアップデートを受け、アドビではAdobe ReaderおよびAcrobat用の次の四半期アップデートを10月13日（火）に公開することを予定しています。

影響を受けるソフトウェアとバージョン

Adobe Flash Player 9.0.159.0、10.0.22.87およびこれらより前のバージョンの 9.x、10.x.

Adobe Flash Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flashコンテンツ上で右クリックし、メニューから「Adobe（またはMacromedia）Flash Playerについて」を選択します。複数のブラウザーを利用している場合は、システム上にインストールされたブラウザーごとに、この確認作業を行うようにしてください。

Adobe AIR 1.5.1およびそれ以前のバージョン

Adobe Reader、Acrobat 9.1.2およびそれ以前のバージョン9.x

解決方法

Adobe Flash Player

Adobe Flash Player 10.0.22.87およびそれ以前をご利用のお客様には、最新バージョンの10.0.32.18へのアップグレードを推奨します。このアップグレードは、Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても実行することができます。

Adobe Flash Player 10にアップデートすることを望まないお客様に対しては、パッチ適用済みのAdobe Flash Player 9、Adobe Flash Player 9.0.246.0を次のリンクより提供しています。http://www.adobe.com/jp/support/flashplayer/downloads.html#fp9

Adobe AIR

Adobe AIRバージョン1.5.1およびそれ以前のバージョンをご利用のお客様には、最新バージョンの1.5.2へのアップデートを推奨します。アップデートはAdobe AIRダウンロードセンターからダウンロードできます。

Adobe Reader

バージョン9.1のフルインストーラーをhttp://get.adobe.com/jp/reader/よりダウンロードしたユーザーには、アドビアップデーターテクノロジによって、初めての起動時にAdobe Reader 9.1.3パッチが提供されます。また、ヘルプ／アップデートの有無をチェックを選択することでも、ご利用中のソフトウェアがパッチの適用された最新版であるかどうかを確認できます。他にも、アドビWebサイトの製品アップデートのセクションを介して、9.1.3アップデートを手動操作で適用することも可能です。

Windows版Adobe Reader用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Macintosh版Adobe Reader用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

UNIX版Adobe Reader用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix

Acrobat

Windows版Acrobat StandardおよびPro用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Windows版Acrobat Pro Extended用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows

Macintosh版Acrobat Pro用のアップデートは次のURLより入手できます。
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

緊急度

アドビはこれらの問題をクリティカルな案件と分類し、対象となるユーザーの皆様に、該当製品へのパッチの適用を推奨します。

詳細

Windows、Macintosh、LinuxおよびSolarisオペレーティングシステム用の現行バージョンのAdobe Flash Player（v9.0.159.0またはv10.0.22.87）と、Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat v9.xに付属するauthplay.dllコンポーネントに、クリティカルな脆弱性が存在することが確認されています。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

Adobe Flash Player 9.x、10.xおよびこれらより前のバージョンをご利用のお客様には、Adobe Flash Player 9.0.246.0および10.0.32.18にアップデートすることを推奨します。Adobe AIRのバージョン1.5.1以前をご利用のお客様には、Adobe AIR 1.5.2へのアップデートを推奨します。Adobe Reader 9、Acrobat 9およびこれらの以前のバージョンをご利用のお客様には、Adobe Reader 9.1.3およびAcrobat 9.1.3へのアップデートを推奨します。

Adobe Flash Player、Adobe AIR、Adobe ReaderおよびAcrobat用のアップデートにより、コードの無断実行につながりかねないメモリー破損脆弱性が解消されます（CVE-2009-1862）。

Adobe Flash Player用のアップデートにより、Microsoftセキュリティアドバイザリ（973882）に解説されている、脆弱なバージョンのMicrosoft Active Template Library（ATL）の問題が解決されます。攻撃者がこの潜在的な脆弱性を悪用することに成功した場合、当該システムが攻撃者によって制御されるおそれがあります（CVE-2009-0901、CVE-2009-2495、CVE-2009-2493）。

Adobe Flash Player用のアップデートにより、Macintoshオペレーティングシステムのデスクトップにアクセスできるユーザーが管理者権限を取得することになりかねない、権限昇格脆弱性が解消されます（CVE-2009-1863）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、コードの無断実行につながりかねないヒープオーバーフロー脆弱性が解消されます（CVE-2009-1864）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、コードの無断実行につながりかねないnullポインター脆弱性が解消されます（CVE-2009-1865）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、コードの無断実行につながりかねないスタックオーバーフロー脆弱性が解消されます（CVE-2009-1866）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、攻撃者がWebブラウザーユーザーに予期せぬリンクやダイアログのクリックを誘発することになりかねない、クリックジャッキング脆弱性が解消されます（CVE-2009-1867）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、コードの無断実行につながりかねないURL処理ヒープオーバーフロー脆弱性が解消されます（CVE-2009-1868）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、コードの無断実行につながりかねない整数オーバーフロー脆弱性が解消されます（CVE-2009-1869）。

Adobe Flash PlayerおよびAdobe AIR用のアップデートにより、ハードディスクへのSWF保存時に情報が公開されることになりかねない、ローカルサンドボックス脆弱性が解消されます（CVE-2009-1870）。

謝辞

一連の問題を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• Tencent Security Centerのlakehu氏（CVE-2009-1862）
• IBM ISS X-Force*のDavid Dewey氏、VeriSign iDefense Labs*のRyan Smith氏およびMicrosoft脆弱性研究プログラム（MSVR）*（CVE-2009-0901、CVE-2009-2495、CVE-2009-2493）
• Mike Wroe氏（CVE-2009-1863）
• iDefense Vulnerability Contributor Program*経由で報告をお寄せいただいた匿名の研究者様（CVE-2009-1864）
• VenustechのChen Chen氏（CVE-2009-1865、CVE-2009-1866）
• Joran Benker氏（CVE-2009-1867）
• iDefense（CVE-2009-1868）
• IBM Rational Application Security*のRoee Hay氏（CVE-2009-1869）
• Microsoft脆弱性研究プログラム（MSVR）*（CVE-2009-1870）

更新履歴

2009年8月3日 - Solaris版Adobe Flash Player v9およびv10用のアップデート公開に関する情報を追記
2009年7月31日 - Adobe ReaderおよびAcrobatのアップデート情報と、正しいAdobe Flash Player 9のダウンロードリンク情報を追記
2009年7月30日 - 初出