Flash Player の脆弱性と対策 (APSA15-04)

2015.07.22

fp118_AIR

車輪開発大好きおたいがです。こんにちは。( 挨拶 )

最近騒がれている Flash Player のセキュリティ情報および関連製品のアップデート情報について、お問い合わせをいただいたので、まとめてみました。

Adobe Flash Player の脆弱性対策について(APSA15-04)(CVE-2015-5122等)(APSB15-18)

最近の Flash Player ゼロデイ脆弱性

今回話題になっている脆弱性は、攻撃者が脆弱性を突いた SWF を作成して Web サイト ( 自前で作ったり、乗っ取ったりしたサイト ) に埋め込み、ActionScript を経由して閲覧したユーザーの PC を不正操作できるようです。

トレンドマイクロさんのセキュリティブログに具体的な情報が掲載されていますが、結構ヤバいですね。( 攻撃用 SWF の構築だけは私でも真似っ子できそうです )

リンクと所見を以下にまとめてみました。

CVE-2015-5119

Flash Playerのゼロデイ脆弱性「CVE-2015-5119」による標的型攻撃を国内で確認 | トレンドマイクロ セキュリティブログ

ActionScript の Object.valueOf() メソッド悪用系

CVE-2015-5122

新たに確認されたFlash脆弱性「CVE-2015-5122」の解析 | トレンドマイクロ セキュリティブログ

ActionScript の TextBlock.createTextLine(), TextBlock.recreateTextLine() メソッドを経由した Object.valueOf() メソッド悪用系 ( まさかの TLF ... )

CVE-2015-5123

新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認 | トレンドマイクロ セキュリティブログ

ActionScript の BitmapData オブジェクトを経由した Object.valueOf() メソッド悪用系

元を辿ると、いずれも Object.valueOf() メソッドの Use After Free ( 解放後使用 ) の脆弱性を突く攻撃手法のようです。本当よく思いつきますね。

使用している Flash Player の種類の確認

2015 年 7 月 22 日現在、Adobe にサポートされている Flash Player はいくつか種類があり、ブラウザ用の Flash Player だけでも IE 版 plug-in 版 Google Chrome 版 と用意されていますので、該当する Flash Player を使用しているか確認してアップデートすることを強くおすすめします。

CVE-2015-5122, CVE-2015-5123 対応済み
各 Flash Player バージョン一覧

製品名 アップデートバージョン プラットフォーム 入手方法
Flash Player デスクトップランタイム 18.0.0.209 Windows および Macintosh Flash Player ダウンロードセンター
Adobe Flash Playerの配布
Flash Player 継続サポートリリース 13.0.0.309 Windows および Macintosh 継続サポート
Google Chrome 用の Flash Player 18.0.0.209 Windows、Macintosh および Linux Google Chrome のリリース
Internet Explorer 10 および Internet Explorer 11 用の Flash Player 18.0.0.209 Windows 8.0 および 8.1 マイクロソフトセキュリティアドバイザリ
Adobe Flash Player 11.2.202.491 Linux Flash Player ダウンロードセンター

ついでに Adobe 製品のセキュリティ速報もチェック

Flash Player 以外にも、Adobe Reader(Acrobat)Adobe AIR といった SWF を読み込むことのできる ( Flash Player を内包している? ) アプリケーションがありますので、今回のようなことがあったときには、ついでに関連製品情報もチェックしておくと良いと思います。( 最近 Adobe Reader の脆弱性も新たに発見されましたし )

セキュリティ速報および情報 - Adobe
https://helpx.adobe.com/jp/security.html

また、セキュリティ情報のページを見るなり、フィードを取得するのも良いと思います。

IPA 独立行政法人 情報処理推進機構:重要なセキュリティ情報一覧
http://www.ipa.go.jp/security/announce/alert.html#ipar_main
https://www.ipa.go.jp/security/rss/alert.rdf

まとめ

この記事を読まれてヤバいと思われましたら、速やかにアップデートすることをおすすめします。

( 提督業審神者業に就かれている方もぜひ )