公開日:2008/05/29 最終更新日:2008/05/29

JVNTA08-149A
Adobe Flash Player の脆弱性を利用した攻撃に関する情報
緊急

概要

Adobe Flash Player の脆弱性を利用した攻撃活動が確認されています。

影響を受けるシステム

  • Adobe Flash Player 9.0.115.0 およびそれ以前

詳細情報

Adobe Flash Player の脆弱性を利用した攻撃活動が確認されています。Flash Player 9.0.124.0 では、この攻撃活動で利用された脆弱性は既に対応されています。また、本脆弱性は、Flash Player 9 から導入された Action Script 3.0 によるもので旧バージョンで影響を受ける可能性は無いと考えられます。

本脆弱性に対する攻撃は、細工された Flash ファイルをウェブサイトに埋め込みユーザに読み込ませる方法で、活動が既に行われていると報告されています。

想定される影響

遠隔の第三者によって任意のコードを実行される可能性があります。また、攻撃者は悪意のあるソフトウェアのインストールに本脆弱性を使用する可能性もあります。

対策方法

アップデートする
Adobe が提供する最新バージョンへアップデートしてください。

Flash コンテンツをブロックする
使用するブラウザによって異なりますが、ActiveX コントロールを無効にしたり、Noscript や FlashBlock といったアドオンを使用することで攻撃を軽減することができます。

ベンダ情報

ベンダ リンク
Adobe Potential Flash Player issue
APSB08-11 Flash Player update available to address security vulnerabilities
Adobe Web Player
Adobe Flash Player のバージョンテスト

参考情報

  1. US-CERT Vulnerability Note VU#395473
    Adobe Flash player code execution vulnerability
  2. US-CERT Vulnerability Note VU#159523
    Adobe Flash Player integer overflow vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2008.05.29における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT/CC Alert 2008-05-28
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA08-149A
Exploitation of Adobe Flash Vulnerability
CPNI Advisory
TRnotes
CVE CVE-2007-0071
JVN iPedia