RHEL 5:Flash プラグイン(RHSA-2008:0945)
critical Nessus プラグイン ID 63869
Language:
概要
リモート Red Hat ホストにセキュリティ更新がありません。説明
複数のセキュリティ問題を修正する更新済みの Adobe Flash Player パッケージが、 Red Hat Enterprise Linux 5 Supplementary で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。
[2008 年 11 月 18 日に更新] リリース時には公開されていなかった、CVE に割り当てられた追加的な問題に対する参照を含めるために、エラータが更新されています。エラータのセキュリティに対する影響が、「重要度高」にアップグレードされました。パッケージは変更されていません。
Flash プラグインパッケージには、Firefox と互換性のある Adobe Flash Player Web ブラウザプラグインがあります。
Adobe Flash Player がクリップボードにコンテンツを書き込む方法で、欠陥が見つかりました。悪意のある SWF ファイルにより、ユーザーが誤って攻撃者が制御する URL をロードする可能性のある URL が入力されたクリップボードを作成する可能性があります。(CVE-2008-3873)
Adobe Flash Player の ActionScript がユーザーの操作なしでファイルのアップロードおよびダウンロードを開始できる欠陥が見つかりました。
FileReference.browse および FileReference.download 呼び出しは、ユーザーによる操作のみで開始できるようになりました(マウスクリックやキーボードでのキーを押すことなど)。(CVE-2008-4401)
設定マネージャーのコンテンツの Adobe Flash Player のディスプレイに欠陥が見つかりました。悪意のある SWF ファイルにより、ユーザーが騙されて、無意識的にリンクやダイアログをクリックする可能性があります。これにより、悪意のある SWF ファイルに、ローカルマシンにあるカメラまたはマイクに対するアクセス権限を与える可能性があります。(CVE-2008-4503)
Flash Player がクロスドメインポリシーファイルの解釈や用途を制限していた方法に、欠陥が見つかりました。リモートの攻撃者は Flash Player を利用して、クロスドメインやクロスサイトスクリプティング攻撃を行うことができます(CVE-2007-4324、CVE-2007-6243)。この更新では、これらの問題に対処するための拡張機能が提供されています。
Adobe Flash Player 10 にも、以下のようなバグ修正や拡張機能が含まれています。
* サウンド出力における競合状態の問題を修正することで、Linux プラットフォームでの安定性を改善。
* カスタムフィルターおよびエフェクト、ネイティブ 3D 変換およびアニメーション、高度なオーディオ処理、新しくてより柔軟なテキストエンジン、および GPU ハードウェアアクセラレーションの新しいサポート。
新しい機能や拡張機能についての詳細情報は、Adobe Flash Player のサイトや Adobe Labs リリースノートを参照してください。
注:一部のユーザーは 旧バージョンの Flash Player に対して、サードパーティのコンポーネントの libflashsupport をインストールしている可能性があります。Adobe Flash Player 10 では、libflashsupport はサポートしていません。ユーザーは、これらがインストールされている場合には libflashsupport を削除することが推奨されています。
Adobe Flash Player の全ユーザーは、Flash Player バージョン 10.0.12.36 が含まれるこの更新済みパッケージへアップグレードすることが推奨されます。
ソリューション
影響を受ける Flash プラグインパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2007-4324
https://access.redhat.com/security/cve/cve-2007-6243
https://access.redhat.com/security/cve/cve-2008-3873
https://access.redhat.com/security/cve/cve-2008-4401
https://access.redhat.com/security/cve/cve-2008-4503
https://access.redhat.com/security/cve/cve-2008-4818
https://access.redhat.com/security/cve/cve-2008-4819
https://access.redhat.com/security/cve/cve-2008-4821
https://access.redhat.com/security/cve/cve-2008-4822
https://access.redhat.com/security/cve/cve-2008-4823
https://access.redhat.com/security/cve/cve-2008-4824
https://access.redhat.com/security/cve/cve-2008-5361
https://access.redhat.com/security/cve/cve-2008-5362
https://access.redhat.com/security/cve/cve-2008-5363
https://www.adobe.com/support/security/bulletins/apsb08-18.html
https://www.adobe.com/support/security/bulletins/apsb08-20.html
https://www.adobe.com/support/security/bulletins/apsb08-22.html
https://www.adobe.com/devnet/flashplayer.html
プラグインの詳細
深刻度: Critical
ID: 63869
ファイル名: redhat-RHSA-2008-0945.nasl
バージョン: 1.18
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:flash-plugin, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.2
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2008/11/18
脆弱性公開日: 2007/8/13
参照情報
CVE: CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363