1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

Adobe Flash Player用のセキュリティアップデート公開

リリース日：2009年12月8日

最終更新日：2009年12月10日

脆弱性識別番号：APSB09-19

CVE番号：CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951

プラットフォーム：全プラットフォーム

概要

Adobe Flash Player 10.0.32.18およびそれ以前のバージョンにクリティカルな脆弱性が存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

Adobe Flash Player 10.0.32.18およびそれ以前のバージョンをご利用のお客様には、Adobe Flash Player 10.0.42.34へのアップデートを推奨します。Adobe AIRのバージョン1.5.2以前をご利用のお客様には、Adobe AIR 1.5.3へのアップデートを推奨します。

影響を受けるソフトウェアとバージョン

Adobe Flash Player 10.0.32.18およびそれ以前のバージョン
Adobe AIR 1.5.2およびそれ以前のバージョン

ご利用中のシステムにインストールされているAdobe Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flash Playerで実行中のコンテンツ上で右クリックし、メニューから「Adobe（またはMacromedia）Flash Playerについて」を選択します。複数のブラウザーを利用している場合は、当該システムにインストールされたブラウザーごとに、この確認作業を行うようにしてください。

解決方法

Adobe Flash Player
Adobe Flash Player 10.0.32.18およびそれ以前をご利用のお客様には、最新バージョンの10.0.42.34へのアップグレードを推奨します。このアップグレードは、Flash Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても行えます。

Adobe Flash Player 10へのアップデートを望まないお客様に対しては、Adobe Flash Player 9のパッチ適用済みバージョンであるAdobe Flash Player 9.0.260を次のリンクにて公開しています。http://www.adobe.com/go/kb406791*

Adobe AIR
Adobe AIRバージョン1.5.2およびそれ以前のバージョンをご利用のお客様には、最新バージョンの1.5.3へのアップデートを推奨します。アップデートはAdobe AIRダウンロードセンターからダウンロードできます。

緊急度

アドビはこの問題をクリティカルな案件と分類し、対象ユーザーの皆様に、該当製品の最新バージョンへのアップデートを推奨します。

詳細

Adobe Flash Player 10.0.32.18およびそれ以前のバージョンにクリティカルな脆弱性が存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

Adobe Flash Player 10.0.32.18およびそれ以前のバージョンをご利用のお客様には、Adobe Flash Player 10.0.42.34へのアップデートを推奨します。Adobe AIRのバージョン1.5.2以前をご利用のお客様には、Adobe AIR 1.5.3へのアップデートを推奨します。

このアップデートはコード実行の原因になりかねない、JPEGデータ解析時の脆弱性を解消します（CVE-2009-3794）。

このアップデートはコード実行の原因になりかねない、データ注入脆弱性を解消します（CVE-2009-3796）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2009-3797）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2009-3798）。

このアップデートはコード実行の原因になりかねない、整数オーバーフロー脆弱性を解消します（CVE-2009-3799）。

このアップデートはコード実行の原因になりかねない、複数のクラッシュ脆弱性を解消します（CVE-2009-3800）。

このアップデートは情報開示の原因になりかねない、Flash Player ActiveXコントロールのローカルファイル名アクセス脆弱性（Windows版のみ）を解消します（CVE-2009-3951）。このアップデートは以前にパッチが適用された案件のCVE-2008-4820にアップデートを適用します。

注意：PowerPCベースのG3 MacintoshコンピューターをサポートするFlash Playerは、2010年前半に公開予定のAdobe Flash Player 10.1が最後のバージョンになります。アドビではFlash Player 10.1のリリースをもって、PowerPCベースのG3コンピューターのサポートとセキュリティアップデートの提供を終了する予定です。この決定は、以前のPowerPCアーキテクチャーでは対応できない、パフォーマンス面での機能拡張が原因で下されているものです。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• TippingPointのZero Day Initiative*を介して問題点をご指摘いただいた匿名の研究者様（CVE-2009-3794）
• EffectiveUI*のJim Cheng氏（CVE-2009-3796）
• Fortinet FortiGuard Labs*のBing Liu氏（CVE-2009-3797、CVE-2009-3798）
• TippingPointのZero Day Initiative*を介して問題点をご指摘いただいたDamian Put氏（CVE-2009-3799）
• CERT*のWill Dormann氏（CVE-2009-3800）
• Manuel Caballero氏およびMicrosoft Vulnerability Research (MSVR)*（CVE-2009-3951）

更新履歴

2009年12月10日 - 「詳細」の節のバージョン番号の誤りを訂正すると共に、「解決方法」の節のFlash Player 9へのリンクを更新
2009年12月9日 - Flash CS4 Professional、Flash CS3 ProfessionalおよびFlex 3に関する詳細を追加
2009年12月8日 - 初出