HOME 情報セキュリティ更新：Adobe Flash Player の脆弱性対策について(APSB15-09)(CVE-2015-3078等)

更新：Adobe Flash Player の脆弱性対策について(APSB15-09)(CVE-2015-3078等)

最終更新日：2015年5月29日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

MyJVNバージョンチェッカによる最新バージョン利用の簡易チェックが行えます。こちらからご利用ください。
動作環境にJREを使用しない「MyJVNバージョンチェッカ for .NET」も利用可能です。

概要

アドビシステムズ社の Adobe Flash Player に、ウェブを閲覧することで DoS 攻撃や任意のコード（命令）を実行される可能性がある脆弱性（APSB15-09）が存在します。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。

アドビシステムズ社からは、「攻撃対象になるリスクが比較的に高い脆弱性」としてアナウンスがされているため、至急、修正プログラムを適用して下さい。

5/29 16:00 追記
現在、当該脆弱性 (APSB15-09)(CVE-2015-3090) を悪用した攻撃を確認したとセキュリティ企業が公表しています。

今後、当該脆弱性を悪用したマルウェアによる被害が発生する可能性が高い状況であるため、修正プログラムを適用していない Adobe Flash Player 利用者は、至急、修正プログラムを適用して下さい。

対象

次の Adobe 製品が対象です。

Adobe Flash Player 17.0.0.169 およびそれ以前のバージョン
Adobe Flash Player 13.0.0.281 およびそれ以前の 13.x のバージョン
Adobe Flash Player 11.2.202.457 およびそれ以前の 11.x のバージョン
AIR Desktop Runtime 17.0.0.144 およびそれ以前のバージョン
AIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前のバージョン

対策

インストール有無とバージョン確認

Flash Player のインストール有無とバージョンを確認

次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認する。
https://www.adobe.com/jp/software/flash/about/

Flash Playerが上記対象のバージョンの場合は、アップデートが必要です。なお、一つのOSにおいて複数のブラウザ^(*1)で、それぞれFlash Playerを利用している場合は、各ブラウザ毎に、Flash Player のバージョンを確認してください。

修正プログラムの適用方法

1.Flash Player のアップデート方法

次の URL にアクセスし、Flash Player の最新版をインストールする。
https://get.adobe.com/jp/flashplayer/

2.Google Chrome のアップデート方法

Google Chrome は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
https://support.google.com/chrome/bin/answer.py?hl=ja&answer=95414

3.Internet Explorer のアップデート方法

Windows 8 用 Internet Explorer 10 および Windows 8.1 用 Internet Explorer 11 は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
https://technet.microsoft.com/en-us/library/security/2755801.aspx

参考情報

Adobe Systems
https://helpx.adobe.com/security/products/flash-player/apsb15-09.html
CVE
CVE-2015-3078
MyJVNバージョンチェッカ
～ソフトウェアが最新であるか簡易な操作でチェックすることができます～
クライアント用（JRE版）
クライアント用（.NET Framework版）
サイバーセキュリティ注意喚起サービス「icat」
～Webコンテンツ内にHTMLタグを記載することで、IPAから発信する「重要なセキュリティ情報」をリアルタイムに自組織内のWebサイト上などに表示できます。脆弱性対策の促進にご活用ください。～
https://www.ipa.go.jp/security/vuln/icat.html

Angler EK Exploiting Adobe Flash CVE-2015-3090（英語）
https://www.fireeye.com/blog/threat-research/2015/05/angler_ek_exploiting.html

本件に関するお問い合わせ先

IPA　技術本部　セキュリティセンター

E-mail：

※個別の環境に関するご質問を頂いても回答ができない場合があります。
　詳しくは製品ベンダなどにお問合せください。

脚注

(*1)ウェブを閲覧するプログラム。Internet Explorer, Mozilla Firefox, Netscape, Opera, Safari, Google Chrome など

更新履歴

2015年5月29日	概要：追記参考情報：追加
2015年5月13日	掲載

情報セキュリティ