検出

Adobe Flash Player <= 21.0.0.242 Multiple Vulnerabilities (APSB16-18)

critical Nessus プラグイン ID 91670

Language:

概要

リモートのWindowsホストに、複数の脆弱性の影響を受けるブラウザプラグインがインストールされています。

説明

リモートのWindowsホストにインストールされているAdobe Flash Playerは、21.0.0.242より前のバージョンです。したがって、以下の複数の脆弱性による影響を受けます。

 - 複数のメモリ破損の問題が存在するため、認証されていないリモートの攻撃者が、サービス拒否状態を引き起こしたり、任意のコードを実行したりすることが可能です。
 (CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4137, CVE-2016-4141, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171)

 - ユーザー指定入力の不適切な検証により、複数のヒープバッファオーバーフロー状態が存在します。An unauthenticated, remote attacker can exploit these to execute arbitrary code. (CVE-2016-4135, CVE-2016-4136, CVE-2016-4138).

 - An unspecified vulnerability exists that allows an unauthenticated, remote attacker to bypass the same-origin policy, resulting in the disclosure of potentially sensitive information. (CVE-2016-4139)

 - 信頼できない、またはユーザーのコントロール下にない可能性があるディレクトリを含む検索パスを利用することにより、特定の動的リンクライブラリのロード時に詳細不明な欠陥が存在します。An unauthenticated, remote attacker can exploit this, by inserting a specially crafted library in the path, to execute arbitrary code in the context of the user. (CVE-2016-4140)

 - Multiple use-after-free errors exist that allow an unauthenticated, remote attacker to deference already freed memory, resulting in the execution of arbitrary code. (CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148)

 - Multiple type confusion errors exist that allow an unauthenticated, remote attacker to execute arbitrary code. (CVE-2016-4144, CVE-2016-4149)

ソリューション

Adobe Flash Playerバージョン 22.0.0.192以降にアップグレードしてください。

または、Adobe は、最新バージョンにアップグレードできないインストールに対して、 18.0.0.360 を使用できるようにしています。

参考資料

https://helpx.adobe.com/security/products/flash-player/apsb16-18.html

http://www.nessus.org/u?0cb17c10

プラグインの詳細

深刻度: Critical

ID: 91670

ファイル名: flash_player_apsb16-18.nasl

バージョン: 1.12

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2016/6/17

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-4171

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:adobe:flash_player

必要な KB アイテム: SMB/Flash_Player/installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/6/16

脆弱性公開日: 2016/6/14

CISA の既知の悪用された脆弱性の期限日: 2022/4/15

参照情報

CVE: CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4135, CVE-2016-4136, CVE-2016-4137, CVE-2016-4138, CVE-2016-4139, CVE-2016-4140, CVE-2016-4141, CVE-2016-4142, CVE-2016-4143, CVE-2016-4144, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148, CVE-2016-4149, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171

CERT: 748992