関連する複数のゼロ・ディ脆弱性が見つかったため、改題してまとめてお送りします。
脆弱性の内容
「JVNVU#90834367: Adobe Flash Player に解放済みメモリ使用 (use-after-free) の脆弱性」より
Adobe Flash Player の ActionScript 3 ByteArray クラスには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。
「JVNVU#93769860: Adobe Flash Player (opaqueBackground) に解放済みメモリ使用 (use-after-free) の脆弱性」より
Adobe Flash Player には、ActionScript 3 の opaqueBackground の処理に起因する解放済みメモリ使用 (use-after-free) の脆弱性が存在します。本脆弱性を悪用することでメモリ破壊を行うことが可能です。なお、本脆弱性の Proof-of-Concept コードが公開されています。
「JVNVU#94770908: Adobe Flash Player (BitmapData) に解放済みメモリ使用 (use-after-free) の脆弱性」より
Adobe Flash Player には、ActionScript 3 の BitmapData の処理に起因する解放済みメモリ使用 (use-after-free) の脆弱性が存在します。本脆弱性を悪用することでメモリ破壊を行うことが可能です。なお、本脆弱性の Proof-of-Concept コードが公開されています。
想定される影響は以下の通り
当該製品を使用するユーザが、細工された Flash コンテンツを含むウェブサイトにアクセスしたり、細工された Microsoft Office ドキュメントを開いたりすることで、ユーザのウェブブラウザ上で任意のコードを実行される可能性があります。
対策としては(アップデートが出るまでは) Flash を無効にすること。また Microsoft EMET(Enhanced Mitigation Experience Toolkit)が有効とのこと。
影響度
Vulnerability Note VU#561288, Vulnerability Note VU#338736, Vulnerability Note VU#918568 より
CVSS 基本値 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
基本評価基準 | 評価値 |
---|---|
攻撃元区分(AV) | ネットワーク(N) |
攻撃条件の複雑さ(AC) | 低(L) |
攻撃前の認証要否(Au) | 不要(N) |
情報漏えいの可能性(機密性への影響, C) | 部分的(P) |
情報改ざんの可能性(完全性への影響, I) | 部分的(P) |
業務停止の可能性(可用性への影響, A) | 部分的(P) |
CVSS についてはデモページを参照のこと。
影響を受ける実装
- Adobe Flash Player 9.0 から 18.0.0.204 まで。
- Chrome v43.0.2357.132
- Windows 8 以降に同梱されている Internet Explorer 10/11 の Adobe Flash ライブラリについては更新プログラムが出ている(マイクロソフト セキュリティ アドバイザリ 2755801)
- Windows 8, RT, 8.1, RT 8.1
- Windows Server 2012, 2012 RT
7月15日にアップデートがリリース(Linux 版はまだ)。
https://www.adobe.com/jp/software/flash/about/ にアクセスし, Flash Player のバージョンを確認できる。ブラウザごとにモジュールが異なるので,複数のブラウザがある場合は,全てのブラウザで確認すること。
Adobe 製品や Oracle Java は狙われやすい製品であるといえる。もしこれらを使わないのであればマシンから削除することをお勧めする。 Chrome や IE のように Flash が内蔵されているものはアップデート情報を見逃さないこと。 Windows 環境であれば MyJVN が提供するツールで確認してみるのも手である。
参考ページ
- Adobe Security Bulletin: Security Advisory for Adobe Flash Player
- Hacking Team Is Hacked - Schneier on Security
- イタリアの監視ソフト企業がハッキング被害--各国政府など顧客リスト流出か - ZDNet Japan
- FlashやWindowsに未解決の脆弱性、Hacking Teamの情報流出で発覚 - ITmedia エンタープライズ
- 「Adobe Flash Player」にゼロデイ脆弱性、「Google Chrome」版で先行アップデート - 窓の杜
- Adobe Flash Player の脆弱性 (APSB15-16) に関する注意喚起
- Adobe Flash Player の脆弱性対策について(APSB15-16)(CVE-2015-5119等):IPA 独立行政法人 情報処理推進機構
- AdobeがまたまたFlashのゼロデイホールを修復…まだ実害の報告はないが | TechCrunch Japan
- アドビ、「Flash Player」をアップデート--監視ソフト企業の情報流出で発覚した脆弱性など修正 - ZDNet Japan
- 2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起
- 「Adobe Flash Player」にまた脆弱性--監視ソフト企業の情報流出から新たに発見か - ZDNet Japan
- Adobe Flash Player の脆弱性対策について(APSA15-04)(CVE-2015-5122等):IPA 独立行政法人 情報処理推進機構
- Adobe、予告していたFlash Playerの緊急アップデートを公開 - ITmedia ニュース
- 致命的脆弱性の発見でFirefoxがFlashを一時的にブロック中―Adobeのパッチをインストールすれば復活 | TechCrunch Japan
最近はAdobe自身がFlashを嫌っているのは公然の秘密だ。Flashはウェブの黎明時代にはそれなりの役割を果たしたが、HTML5その他のウェブ標準が整備されるにつれて、デベロッパーは非効率でセキュリティー上の問題を抱えるFlashプラグインに次第に頼らなくなっている。GoogleのYouTubeはすでにFlashではなくHTML5を標準として採用しているし、Chromeはウェブページ中で重要性の低いFlashコンテンツの自動再生をブロックするようになった。