JVNVU#395473
Adobe Flash Player に任意のコード実行の脆弱性
緊急
Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。 また、本脆弱性をついた活動が既に行われていると報告されています。
- Adobe Flash Player 9.0.115.0 およびそれ以前
Adobe Flash Player は、Flash メディアフォーマットやフレームベースのアニメーションなどをウェブブラウザで見るためのソフトウェアです。
Adobe Flash Player には、細工された SWF ファイルを処理する際にオーバーフローを起こし、任意のコードを実行される脆弱性が存在します。この細工された SWF ファイルは、ウェブページに埋め込むことができます。したがって、信頼されたサイトであっても攻撃者が細工されたコンテンツをアップロードできる場合、本脆弱性を用いた攻撃に使われる可能性があります。
遠隔の第三者によって任意のコードを実行される可能性があります。
アップデートする
Adobe が提供した最新バージョンへアップデートしてください。
また、回避策としては、以下の方法があります。
管理者向け
- サーバ上で動作しているソフトウェアが最新版であることを確認する
- リバースプロキシやウェブアプリケーションファイアウォールによって攻撃を緩和する
- サーバ管理者やウェブ開発者は、広告などを含め第三者によるコンテンツが本脆弱性に関する攻撃に悪用されていないか確認する
ユーザ向け
- JavaScript を無効にする
使用するウェブブラウザにおいて JavaScript を無効にすることで本脆弱性から受ける影響を緩和することができます。Mozilla Firefox を使用している場合は、Noscript を使用することで緩和することもできます。
2008年5月28日時点で、新規脆弱性として公開しましたが、Adobe の調査の結果本脆弱性に関する情報は、APSB08-11 で対応済みと公表されました。本情報はそれを元に影響を受けるシステム、対策方法を更新しています。
2008.05.28における脆弱性分析結果 緊急
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能。 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能。 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される。 |
|
| 攻撃の難易度 | ある程度の専門的知識や運が必要。 |
|
ウェブページにアクセスし埋め込まれた Flash コンテンツが読み込まれると、本脆弱性の影響を受ける可能性があります。2008年5月29日本脆弱性が既知である情報を受け難易度を低-中へ変更しています。
| JPCERT 緊急報告 | JPCERT/CC Alert 2008-05-28 |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | CVE-2007-0071 |
| JVN iPedia | JVNDB-2008-001284 |
- 2008/05/29
- 影響を受けるシステム、対策方法、JPCERT/CC からの補足情報、関連文書を追記、分析結果を更新しました。
- 2009/06/26
- 関連文書に JVN iPedia へのリンクを追加しました。
