公開日:2016/12/14 最終更新日:2016/12/14

JVNVU#90937983
Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性
緊急

概要

Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

影響を受けるシステム

  • Adobe Flash Player Desktop Runtime 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版)
  • Adobe Flash Player for Google Chrome 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 23.0.0.207 およびそれ以前 (Windows 10、Windows 8.1)
  • Adobe Flash Player 11.2.202.644 およびそれ以前 (Linux 版)

詳細情報

Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

JPCERT/CC では本脆弱性が攻撃に使用されていることを確認しています。

また Adobe が提供する情報 (Adobe Security Bulletin) によると、本脆弱性は Internet Explorer (32-bit 版) を利用するユーザを対象とした攻撃活動において悪用されているとのことです:

Adobe is aware of a report that an exploit for CVE-2016-7892 exists in the wild, and is being used in limited, targeted attacks against users running Internet Explorer (32-bit) on Windows.

想定される影響

遠隔の第三者によって、任意のコードを実行される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとに、最新版へアップデートしてください。

また今回のアップデートでは、他の脆弱性も修正されています。詳しくは、Adobe が提供する情報をご確認ください。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値: 8.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C
基本値: 9.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-7892
JVN iPedia