公開日:2017/10/17 最終更新日:2017/10/17

JVNVU#92489697
Adobe Flash Player に型の混同 (Type Confusion) の脆弱性
緊急

概要

Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性が存在します。

影響を受けるシステム

  • Adobe Flash Player Desktop Runtime 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
  • Adobe Flash Player for Google Chrome 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.130 およびそれ以前 (Windows 10、Windows 8.1)

詳細情報

Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性が存在します。

Adobe が提供する情報 (APSB17-32) によると、本脆弱性は Windows を利用するユーザを対象とした攻撃活動において悪用されているとのことです:

Adobe is aware of a report that an exploit for CVE-2017-11292 exists in the wild, and is being used in limited, targeted attacks against users running Windows.

想定される影響

遠隔の第三者によって、任意のコードを実行される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとに、最新版へアップデートしてください。

参考情報

  1. SecureList.Com
    BlackOasis APT and new targeted attacks leveraging zero-day exploit

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値: 8.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C
基本値: 9.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

管理者権限を持ったユーザが細工されたコンテンツを実行する状況を想定しています。

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2017-0040
Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-11292
JVN iPedia