公開日:2011/04/13 最終更新日:2011/04/22

JVNVU#230057
Adobe Flash Player に脆弱性
緊急

概要

Adobe Flash Player には、任意のコードを実行可能な脆弱性が存在します。

影響を受けるシステム

次の Adobe Flash Player

  • Adobe Flash Player 10.2.153.1 およびそれ以前の Windows 版、Macintosh 版、Linux 版、Solaris 版
  • Adobe Flash Player 10.2.154.25 およびそれ以前の Google Chrome 版
  • Adobe Flash Player 10.2.156.11 およびそれ以前の Android 版
および、次の製品に同梱されている Authplay.dll コンポーネント
  • Adobe Reader X (10.0.2) およびそれ以前の 10.x, 9.x の Windows 版、Macintosh 版
  • Adobe Acrobat X (10.0.2) およびそれ以前の 10.x, 9.x の Windows 版、Macintosh 版
以下の製品は影響を受けないとのことです。
  • UNIX 版 Adobe Reader 9.x
  • Android 版 Adobe Reader
  • Adobe Reader 8.x
  • Adobe Acrobat 8.x
なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を受ける可能性があります。

詳細情報

Adobe Flash Player には、メモリ破損の脆弱性が存在し、任意のコードを実行される可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。

想定される影響

細工された Flash コンテンツの埋め込まれたドキュメントを閲覧することで、任意のコードを実行される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとに最新版へアップデートしてください。

なお、Windows 版の Adobe Reader X のアップデートは、2011年6月14日に公開予定とのことです。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。詳しくは、Vulneability Note VU#230057 をご確認ください。

  • Enhanced Mitigation Experience Toolkit (EMET) を利用する
  • ウェブブラウザで Flash を無効にする
  • Adobe Reader および Acrobat で Flash と 3D & Multimedia サポートを無効にする
    サポートを無効にするには、特定のファイルをリネームまたは削除する必要があります。
  • ウェブブラウザ上での PDF ファイルの自動表示を無効にする
    PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。
  • Adobe Reader および Acrobat で JavaScript を無効にする
  • 不審な PDF ファイルを開かない
    不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開いたりしないようにする。

参考情報

  1. US-CERT Vulnerability Note VU#230057
    Adobe Flash Player contains unspecified code execution vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2011-0009
Adobe Flash Player の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0611
JVN iPedia

更新履歴

2011/04/14
対策方法の更新を行いました。
2011/04/18
対策方法の更新を行いました。
2011/04/18
関連文書にリンクを追加しました。
2011/04/21
対策方法の追記を行いました。
2011/04/22
対策方法の更新およびベンダ情報にリンクを追加しました。