Adobe、Flash Player の重要な脆弱性 (CVE-2018-15981) の OOB パッチを発行

Adobe が Flash Player の重要な脆弱性の OOB パッチを発行しました。ユーザーは、すぐにでもアップグレードするように推奨されています。

背景

Adobe は 11 月 20 日に OOB セキュリティブレティン APSB18-44 をリリースし、Windows、macOS、Linux、Chrome OS 向けの 31.0.0.148 以前のバージョンの Adobe Flash Player にゼロデイ脆弱性が見つかったことを公表しました。

このブレティンは、Adobe が APSB18-39 をリリースした 7 日後に、2018 年 11 月の月次セキュリティブレティンとして公開されました。その同じ日、11 月 13 日に研究者の Gil Dabah がブログを公開し、CVE-2018-15981 を発見したことについて言及しました。

Adobe の月次セキュリティブレティンと研究者のブログ記事が同じ日に公開されたことが偶然のようには見えません。ただ、Dabah 氏本人は、偶然であったとツイートでつぶやいています。

通知とすでに修正に取り掛かってくれていることに対して、@AdobeSecurity に賞賛を。

— Gil Dabah (@_arkon) 2018年11月14日

脆弱性の詳細

Dabah は自身のブログで、CVE-2018-15981 が Adobe Flash Player における型の取り違え脆弱性であると詳細に指摘しています。Adobe の ActionScript Virtual Machine (AVM) のインタプリタコードに脆弱性が存在するとはっきりと述べています。Dabah によると、AVM のインタプリタでは「例外が補足された際にスコープを持つポインタがリセットされず」、それが型の取り違え、ひいては「リモートコード実行につながる」とのことです。

この脆弱性を悪用するには、ユーザーのアクションが必要になります。攻撃者は、ユーザに悪意あるサイトにアクセスしてもらい、ウェブサイトまたは広告ネットワークに侵入し、悪意あるコードを注入してもらう必要があります。

その他の技術的な詳細については、Dabah 氏のブログをご確認ください。

緊急措置が必要

お使いのオペレーティングシステム、またはウェブブラウザに応じて最新版の Flash Player にアップグレードしてください。リンクはAdobe が提供するセキュリティブレティンのソリューションセクションから利用可能となっています。

お使いのネットワーク、またはデバイスで Adobe Flash が必須でない場合は、すべて無効にすることを検討してください。

影響を受けているシステムの特定

この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。

詳細情報

• Flash Player のセキュリティアップデートが利用可能に | APSB18-44
• Flash ニュース (Gil Dabah 氏のブログ)
• ADV180030 | 2018 年 11 月 20 日、Flash アップデート

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。