JVNVU#90937983: Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性

Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

Adobe Flash Player Desktop Runtime 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版)
Adobe Flash Player for Google Chrome 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 23.0.0.207 およびそれ以前 (Windows 10、Windows 8.1)
Adobe Flash Player 11.2.202.644 およびそれ以前 (Linux 版)

Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

JPCERT/CC では本脆弱性が攻撃に使用されていることを確認しています。

また Adobe が提供する情報 (Adobe Security Bulletin) によると、本脆弱性は Internet Explorer (32-bit 版) を利用するユーザを対象とした攻撃活動において悪用されているとのことです：

Adobe is aware of a report that an exploit for CVE-2016-7892 exists in the wild, and is being used in limited, targeted attacks against users running Internet Explorer (32-bit) on Windows.

遠隔の第三者によって、任意のコードを実行される可能性があります。

アップデートする
Adobe が提供する情報をもとに、最新版へアップデートしてください。

また今回のアップデートでは、他の脆弱性も修正されています。詳しくは、Adobe が提供する情報をご確認ください。

ベンダ	リンク
Adobe	Security updates available for Adobe Flash Player (APSB16-39)

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

基本値: 8.8

攻撃元区分(AV)	物理 (P)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	低 (L)
必要な特権レベル(PR)	高 (H)	低 (L)	不要 (N)
ユーザ関与レベル(UI)	要 (R)	不要 (N)
スコープ(S)	変更なし (U)	変更あり (C)
機密性への影響(C)	なし (N)	低 (L)	高 (H)
完全性への影響(I)	なし (N)	低 (L)	高 (H)
可用性への影響(A)	なし (N)	低 (L)	高 (H)

CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C

基本値: 9.3

攻撃元区分(AV)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	中 (M)	低 (L)
攻撃前の認証要否(Au)	複数 (M)	単一 (S)	不要 (N)
機密性への影響(C)	なし (N)	部分的 (P)	全面的 (C)
完全性への影響(I)	なし (N)	部分的 (P)	全面的 (C)
可用性への影響(A)	なし (N)	部分的 (P)	全面的 (C)

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE	CVE-2016-7892
JVN iPedia

JVNVU#90937983 Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性 緊急

JVNVU#90937983
Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性
緊急