1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

Adobe Flash Player用セキュリティアップデート公開

リリース日：2010年6月10日

最終更新日： 2010年6月10日

脆弱性識別番号：APSB10-14

CVE 番号： CVE-2008-4546、CVE-2009-3793、CVE-2010-1297、CVE-2010-2160、CVE-2010-2161、CVE-2010-2162、CVE-2010-2163、CVE-2010-2164、CVE-2010-2165、CVE-2010-2166、CVE-2010-2167、CVE-2010-2169、CVE-2010-2170、CVE-2010-2171、CVE-2010-2172、CVE-2010-2173、CVE-2010-2174、CVE-2010-2175、CVE-2010-2176、CVE-2010-2177、CVE-2010-2178、CVE-2010-2179、CVE-2010-2180、CVE-2010-2181、CVE-2010-2182、CVE-2010-2183、CVE-2010-2184、CVE-2010-2185、CVE-2010-2186、CVE-2010-2187、CVE-2010-2188、CVE-2010-2189

プラットフォーム：全プラットフォーム

概要

Adobe Flash Player 10.0.45.2およびそれ以前のバージョンにクリティカルな脆弱性が存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

Adobe Flash Player 10.0.45.2およびそれ以前のバージョンをご利用のお客様には、Adobe Flash Player 10.1.53.64へのアップデートを推奨します。Adobe AIR 1.5.3.9130およびそれ以前のバージョンをご利用のお客様には、Adobe AIR 2.0.2.12610へのアップデートを推奨します。

影響を受けるソフトウェアとバージョン

Windows版、Macintosh版、Linux版およびSolaris版のAdobe Flash Player 10.0.45.2およびそれ以前のバージョン
Windows版、Macintosh版およびLinux版のAdobe AIR 1.5.3.9130およびそれ以前のバージョン

ご利用中のシステムにインストールされているAdobe Playerのバージョン番号を確認するには、Adobe Flash Playerについてのページにアクセスするか、Flash Playerで実行中のコンテンツ上で右クリックし、メニューから「Adobe（またはMacromedia）Flash Playerについて」を選択します。複数のブラウザーを利用している場合は、システム上にインストールされたブラウザーごとに、この確認作業を行うようにしてください。

ご利用中のシステムにインストールされているAdobe AIRのバージョン番号を確認する方法については、こちらのAdobe AIRテクニカルノートの手順を参照してください。

解決方法

Adobe Flash Player
Adobe Flash Player 10.0.45.2およびそれ以前をご利用のお客様には、最新バージョンの10.1.53.64へのアップグレードを推奨します。このアップグレードはAdobe Flash Playerダウンロードセンターから所定のファイルをダウンロードして行えるほか、製品内の自動更新画面を利用しても行えます。

本セキュリティ情報に記載されている脆弱性に対応した、Solarisプラットフォーム用Flash Player 10.1*のプレリリース版がAdobe Labで公開されています。

何らかの理由でAdobe Flash Player 10.1.53.64へのアップグレードが困難なお客様に対しては、パッチが適用されたバージョンのFlash Player 9を用意しています。パッチ適用済みのFlash Player 9.0.277.0は、こちらのリンク*よりダウンロードできます。

Adobe AIR
Adobe AIRバージョン1.5.3.9130およびそれ以前のバージョンをご利用のお客様には、最新バージョンの 2.0.2.12610へのアップデートを推奨します。アップデートはAdobe AIRダウンロードセンターからダウンロードできます。

緊急度

アドビはこの案件をクリティカルなアップデートと分類し、対象ユーザーの皆様に該当製品の最新バージョンへのアップデートを推奨します。

詳細

Adobe Flash Player 10.0.45.2およびそれ以前のバージョンにクリティカルな脆弱性が存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては攻撃者が対象システムを制御できるようになるおそれがあります。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-1297）。
注意：この問題に関しては、既に一部でその悪用事例が報告されています。

このアップデートはコード実行の原因になりかねない、メモリ消耗脆弱性を解消します（CVE-2009-3793）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2160）。

このアップデートはコード実行の原因になりかねない、インデックス脆弱性を解消します（CVE-2010-2161）。

このアップデートはコード実行の原因になりかねない、ヒープ破損脆弱性を解消します（CVE-2010-2162）。

このアップデートはコード実行の原因になりかねない、複数の脆弱性を解消します（CVE-2010-2163）。

このアップデートはコード実行の原因になりかねない、解放後使用脆弱性を解消します（CVE-2010-2164）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2165）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2166）。

このアップデートはコード実行の原因になりかねない、複数のヒープオーバーフロー脆弱性を解消します（CVE-2010-2167）。

このアップデートはコード実行の原因になりかねない、ポインターメモリ破損を解消します（CVE-2010-2169）。

このアップデートはコード実行の原因になりかねない、整数オーバーフロー脆弱性を解消します（CVE-2010-2170）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2171）。

このアップデートは一部のUNIXプラットフォーム上のサービス拒否問題を解消します（Flash Player 9のみ）（CVE-2010-2172）。

このアップデートはコード実行の原因になりかねない、無効ポインター脆弱性を解消します（CVE-2010-2173）。

このアップデートはコード実行の原因になりかねない、無効ポインター脆弱性を解消します（CVE-2010-2174）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2175）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2176）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2177）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2178）。

このアップデートはクロスサイトスクリプティングの原因になりかねない、URL解析脆弱性を解消します（FirefoxおよびChromeブラウザーのみ）（CVE-2010-2179）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2180）。

このアップデートはコード実行の原因になりかねない、整数オーバーフロー脆弱性を解消します（CVE-2010-2181）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2182）。

このアップデートはコード実行の原因になりかねない、整数オーバーフロー脆弱性を解消します（CVE-2010-2183）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2184）。

このアップデートはコード実行の原因になりかねない、バッファーオーバーフロー脆弱性を解消します（CVE-2010-2185）。

このアップデートはアプリケーションのクラッシュを引き起こしかねないサービス拒否脆弱性を解消します。任意コード実行はこれまで明らかになっていませんが、可能性があります。（CVE-2010-2186）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2187）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2188）。

このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します（CVE-2010-2189）。
注意：この問題はVMWareツールが有効になっているVMWareシステム上でのみ発生します。

このアップデートはサービス拒否問題を解消します（CVE-2008-4546）。

Adobe Flash Player 10.0.45.2およびそれ以前のバージョンをご利用のお客様には、Adobe Flash Player 10.1.53.64へのアップデートを推奨します。Adobe AIR 1.5.3.9130およびそれ以前のバージョンをご利用のお客様には、Adobe AIR 2.0.2.12610へのアップデートを推奨します。

影響を受けるソフトウェア	推奨されるPlayerアップデート	提供状況
Flash Player 10.0.45.2およびそれ以前	10.1.53.64	Flash Playerダウンロードセンター
Flash Player 10.0.45.2およびそれ以前 - ネットワーク配布向け	10.1.53.64	Flash Playerのライセンシング
AIR 1.5.3.9130	AIR 2.0.2.12610	AIRダウンロードセンター
Flash Professional CS5、Flash CS4 ProfessionalおよびFlex 4	10.1.53.64	Flash Playerサポートセンター
Flash CS3 ProfessionalおよびFlex 3	9.0.277.0	Flash Playerサポートセンター

 

注意： Adobe Flash Player 10.1.53.64リリースはMacintosh PowerPCベースのG3コンピューターをサポートする最後のバージョンとなります。アドビではFlash Player 10.1.53.64のリリースをもって、PowerPCベースのG3コンピューターのサポートとセキュリティアップデートの提供を終了する予定です。この決定は、以前のPowerPCアーキテクチャーでは対応できない、パフォーマンス面での機能拡張が原因で下されているものです。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• CERT*のWill Dormann氏（CVE-2010-1297、CVE-2010-2163）
• CIRTのLockheed Martin氏*、Defense Security Information Exchange（DSIE）のメンバーの皆様（CVE-2010-1297）
• Innaworks Development Limited*のRalph Loader氏（CVE-2009-3793）
• TippingPointのZero Day Initiative*を介して問題点をご指摘いただいた匿名の研究者様およびDionysus Blazakis氏（CVE-2010-2160）
• iDefenseのVulnerability Contributor Program*経由で報告をお寄せいただいた匿名の研究者様（CVE-2010-2161）
• TippingPointのZero Day Initiative*を介して問題点をご指摘いただいたDamian Put氏（CVE-2010-2162、CVE-2010-2188）
• iDefenseのVulnerability Contributor Program*経由で報告をお寄せいただいた匿名の研究者様（CVE-2010-2164）
• Palo Alto Networks Inc.*のMegumi Yanagishita氏（CVE-2010-2165）
• Fortinet's FortiGuard Labs*のBing Liu氏（CVE-2010-2163、CVE-2010-2166）
• VUPEN Vulnerability Research Team*のNicolas Joly氏（CVE-2010-2167、CVE-2010-2173、CVE-2010-2174）
• Manuel Caballero氏*およびMicrosoft Vulnerability Research（MSVR）*（CVE-2010-2169）
• ICST-ERCIS（Engineering Research Center of Info Security, Institute of Computer Science & Technology, Peking University / China）のTielei Wang氏（CVE-2010-2170）
• TippingPointのZero Day Initiative*を介して問題点をご指摘いただいた匿名の研究者様およびICST-ERCIS、Peking UniversityのTielei Wang氏（CVE-2010-2171）
• 報告をお寄せいただいたRed Hat Security Response Team*（CVE-2010-2172）
• Palo Alto Networks*のBo Qu氏（CVE-2010-2175、CVE-2010-2176、CVE-2010-2177、CVE-2010-2178）
• Ezio Anselmo Mazarim Fernandes氏（CVE-2010-2179）
• Fortinet's FortiGuard Labs*のHaifei Li氏（CVE-2010-2189）
• Google Security Team*のTavis Ormandy氏（CVE-2010-2163、CVE-2010-2180、CVE-2010-2181、CVE-2010-2182、CVE-2010-2183、CVE-2010-2184、CVE-2010-2185、CVE-2010-2186、CVE-2010-2187）

更新履歴

2010年6月10日 - 「謝辞」を更新しました（CIRTのLockheed Martin氏およびDefense Security Information Exchangeのメンバーの皆様を追加）。
2010年6月10日 - 初出