セキュリティ速報
Shockwave Player用セキュリティアップデート公開
リリース日:2011年2月8日
脆弱性識別番号:APSB11-01
CVE番号:CVE-2010-2587、CVE-2010-2588、CVE-2010-2589、CVE-2010-4092、
CVE-2010-4093、CVE-2010-4187、CVE-2010-4188、CVE-2010-4189、CVE-2010-4190、
CVE-2010-4191、CVE-2010-4192、CVE-2010-4193、CVE-2010-4194、CVE-2010-4195、
CVE-2010-4196、CVE-2010-4306、CVE-2010-4307、CVE-2011-0555、CVE-2011-0556、
CVE-2011-0557、CVE-2011-0569
プラットフォーム:WindowsおよびMacintosh
概要
Windows版、Macintosh版のAdobe Shockwave Player 11.5.9.615およびそれ以前のバージョンに、クリティカルな脆弱性が
存在することが確認されました。攻撃者がこの脆弱性の悪用に成功すると、
対象システム上で悪質なコードが実行される
おそれがあります。Adobe Shockwave Player 11.5.9.615およびそれ以前のバージョンをご利用のお客様には、
以下の手順に従ってAdobe Shockwave Player 11.5.9.620へアップデートすることを推奨します。
影響を受けるソフトウェアとバージョン
Windows版およびMacintosh版のShockwave Player 11.5.9.615およびそれ以前のバージョン
解決方法
Adobe Shockwave Player 11.5.9.615およびそれ以前のバージョンをご利用のお客様には、
http://get.adobe.com/jp/shockwave/にアクセスしてAdobe Shockwave Playerの最新バージョン11.5.9.620ヘアップグレードすることを推奨します。
緊急度
アドビはこのアップデートをクリティカルな案件と分類し、
対象ユーザーの皆様に上記の「解決方法」の手順に従って最新のアップデートを適用されることを推奨します。
詳細
Windows版、Macintosh版のAdobe Shockwave Player 11.5.9.615およびそれ以前のバージョンに、クリティカルな脆弱性が
存在することが確認されました。攻撃者がこの脆弱性の悪用に成功すると、
対象システム上で悪質なコードが実行される
おそれがあります。Adobe Shockwave Player 11.5.9.615およびそれ以前のバージョンをご利用のお客様には、
上記の手順に従ってAdobe Shockwave Player 11.5.9.620へアップデートすることを推奨します。
このアップデートはコード実行の原因になりかねない、dirapi.dllモジュール内の
メモリ破損脆弱性を解消します(CVE-2010-2587)。
このアップデートはコード実行の原因になりかねない、dirapi.dllモジュール内の
メモリ破損脆弱性を解消します(CVE-2010-2588)。
このアップデートはコード実行の原因になりかねない、dirapi.dllモジュール内の
整数オーバーフロー脆弱性を解消します(CVE-2010-2589)。
このアップデートはコード実行の原因になりかねない、解放済みメモリ使用の脆弱性を解消します
(CVE-2010-4092)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4093)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4187)。
このアップデートはコード実行の原因になりかねない、dirapi.dllモジュール内の
メモリ破損脆弱性を解消します(CVE-2010-4188)。
このアップデートはコード実行の原因になりかねない、IML32モジュール内の
メモリ破損脆弱性を解消します(CVE-2010-4189)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4190)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4191)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4192)。
このアップデートはコード実行の原因になりかねない、入力検証の脆弱性を解消します
(CVE-2010-4193)。
このアップデートはコード実行の原因になりかねない、dirapi.dllモジュール内の
入力検証の脆弱性を解消します。(CVE-2010-4194)。
このアップデートはコード実行の原因になりかねない、TextXtraモジュール内の
入力検証の脆弱性を解消します。(CVE-2010-4195)。
このアップデートはコード実行の原因になりかねない、Shockwave 3d Assetモジュール内の
入力検証の脆弱性を解消します。(CVE-2010-4196)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2010-4306)。
このアップデートはコード実行の原因になりかねない、バッファーオーバーフロー脆弱性を解消します。
(CVE-2010-4307)。
このアップデートはコード実行の原因になりかねない、メモリ破損脆弱性を解消します
(CVE-2011-0555)。
このアップデートはコード実行の原因になりかねない、Font Xtra.x32モジュール内の
メモリ破損脆弱性を解消します(CVE-2011-0556)。
このアップデートはコード実行の原因になりかねない、整数オーバーフロー脆弱性を解消します
(CVE-2011-0557)。
このアップデートはコード実行の原因になりかねない、Font Xtra.x32モジュール内の
メモリ破損脆弱性を解消します(CVE-2011-0569)。
謝辞
一連の問題を指摘し、ユーザーのセキュリティ保護にご協力いただいた
以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
• Secunia Research*のCarsten Eiram氏(CVE-2010-2587、CVE-2010-2588、CVE-2010-2589)
• Secunia Research*を介して問題点をご指摘いただいたKrystian Kloskowski氏(h07)(CVE-2010-4092)
• CERT/CC*のWill Dormann氏(CVE-2010-4093、CVE-2010-4193、CVE-2010-4194、
CVE-2010-4195、CVE-2010-4196)
• iDefense Labs*のAndrzej Dyjak氏(CVE-2010-4187)
• TippingPoint DVLabs*のAaron Portnoy氏、Logan Brown氏(CVE-2010-4188)
• TippingPoint DVLabs*のLogan Brown氏、Aaron Portnoy氏(CVE-2011-0555、
CVE-2011-0556)
• TippingPoint DVLabs*のAaron Portnoy氏、Logan Brown氏(CVE-2010-4189)
• TippingPoint's Zero Day Initiative*を介して問題点をご指摘いただいたAniway氏、Luigi Auriemma氏
(CVE-2010-4190)
• TippingPoint's Zero Day Initiative*を介して問題点をご指摘いただいた匿名の報告者様(CVE-2010-4191)
• TippingPoint's Zero Day Initiative*を介して問題点をご指摘いただいたAniway氏(CVE-2010-4192)
• IBM X-Force(CVE-2010-4306, CVE-2010-4307)
• TippingPoint's Zero Day Initiative*を介して問題点をご指摘いただいた匿名の報告者様(CVE-2011-0557)
• TippingPoint DVLabs*のLogan Brown氏、Aaron Portnoy氏、およびTippingPoint's Zero
Day Initiative*を介して問題点をご指摘いただいたLuigi Auriemma氏(CVE-2011-0569)
