公開日:2015/07/08 最終更新日:2015/07/13

JVNVU#90834367
Adobe Flash Player (ByteArray) に解放済みメモリ使用 (use-after-free) の脆弱性
緊急

概要

Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

影響を受けるシステム

  • Adobe Flash Player 9.0 から 18.0.0.194 まで

詳細情報

Adobe Flash Player の ActionScript 3 ByteArray クラスには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

想定される影響

当該製品を使用するユーザが、細工された Flash コンテンツを含むウェブサイトにアクセスしたり、細工された Microsoft Office ドキュメントを開いたりすることで、ユーザのウェブブラウザ上で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

信頼できない Flash コンテンツを表示しない
ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。

Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する
EMET の Attack Surface Reduction (ASR) 機能を設定することで、Microsoft Office や Internet Explorer における Flash ActiveX コントロールの読込みを制限することが可能です。

参考情報

  1. CERT/CC Vulnerability Note VU#561288
    Adobe Flash ActionScript 3 ByteArray use-after-free vulnerability
  2. Flash Player ヘルプ
    Flash Player をアンインストールする方法
  3. How-To Geek
    How to Enable Click-to-Play Plugins in Every Web Browser

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.07.08における脆弱性分析結果(CVSS Base Metrics)  緊急

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が部分的に阻害される

Base Score:7.5

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2015-0019
Adobe Flash Player の脆弱性 (APSB15-16) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-5119
JVN iPedia

更新履歴

2015/07/09
関連文書に JPCERT/CC 注意喚起を追加しました。
2015/07/10
対策方法とベンダ情報を更新しました。
2015/07/13
タイトルを変更し、ベンダ情報と参考情報を更新しました。