JVNTA#97243368
Adobe Flash Player および Microsoft Windows の脆弱性

Adobe Flash Player および Microsoft Windows において最近公表されている脆弱性を組み合わせると、SYSTEM 権限で任意のコードを実行することが可能です。攻撃者は常に、インターネットに面している一般的なソフトウェアの新たな脆弱性を探しています。また攻撃者はこうしたソフトウェアのうち、アップデートが十分でないものも標的としていますので、回避策やその他の防衛手段を実施することが重要です。

• Adobe Flash Player をインストールしている Microsoft Windows

次の脆弱性に対して、当該製品のアップデートと回避策の適用を強く推奨します。

• Flash Player に解放済みメモリ使用 (use-after-free) の脆弱性 (CVE-2015-5119, CVE-2015-5122, CVE-2015-5123)
  Flash Player における ActionScript 3 の ByteArray、opaqueBackground または BitmapData の処理に起因する脆弱性によって、遠隔の攻撃者に任意のコードを実行される可能性があります。
• Windows の Adobe Type Manager モジュールに特権昇格の脆弱性 (CVE-2015-2387)
  Windows の Adobe Type Manager モジュールにおける脆弱性によって、攻撃者に SYSTEM 権限を取得される可能性があります。

脆弱性の組み合わせ
Adobe Flash Player の 3つの脆弱性のうちいずれか一つと Microsoft Windows の脆弱性を組み合わせることで、攻撃者は細工された Flash コンテンツを含むウェブサイトやファイルを開いたユーザの Windows 上で、SYSTEM 権限で任意のコードを実行される可能性があります。

一般的な攻撃手法として、Flash コンテンツを含むウェブサイトへの誘導があります。それ以外では、Flash コンテンツを含むファイルをメールに添付するなどの方法で送り付けたり、Microsoft Office ドキュメントの OLE (Object Linking and Embedding) を使用して Flash コンテンツを外部のサーバから自動でダウンロードさせたりする手法があります。

Flash Player の脆弱性を使用して任意のコードを実行する攻撃者は、Windows の脆弱性によって SYSTEM 権限での実行が可能になります。
この Windows の脆弱性によって、Adobe Reader や Google Chrome にあるようなサンドボックス、Internet Explorer の保護モード、Microsoft Office の保護されたビューなどを回避することが可能です。

Adobe Flash Player の脆弱性により、遠隔の第三者に任意のコードを実行される可能性があります。Windows の脆弱性により、これらの任意のコードを SYSTEM 権限で実行される可能性があります。

攻撃者は Flash Player や Windows など広く普及している製品を標的とします。これらの製品における既知の脆弱性への対策は優先的に実施してください。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

信頼できない Flash コンテンツを表示しない
ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。

Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する
EMET の Attack Surface Reduction (ASR) 機能を設定することで、Microsoft Office や Internet Explorer における Flash ActiveX コントロールの読込みを制限することが可能です。