Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起

　JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2017-0040
JPCERT/CC
2017-10-17

<<< JPCERT/CC Alert 2017-09-13 >>>
Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170040.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB17-32) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって、任意のコードが実行される恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

なお、アドビは、脆弱性 (CVE-2017-11292) が限定的な標的型攻撃に用いられたとしています。Kaspersky Lab からは、当該脆弱性を悪用した攻撃に関する情報が公開されています。攻撃が観測された地域に日本は含まれておりませんが、当該脆弱性を悪用した攻撃が行われる可能性がありますので、対策の検討を推奨いたします。

Kaspersky Lab
BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (27.0.0.159) およびそれ以前
(Windows, Macintosh および Linux)

– Adobe Flash Player for Google Chrome (27.0.0.159) およびそれ以前
(Windows, Macintosh, Linux および Chrome OS)

Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (27.0.0.130) およびそれ以前
(Windows 10 および Windows 8.1)

お使いの Adobe Flash Player のバージョンは、次のページで確認できます。

Flash Player ヘルプ

https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (27.0.0.170)
(Windows, Macintosh および Linux)

– Adobe Flash Player for Google Chrome (27.0.0.170)
(Windows, Macintosh, Linux および Chrome OS)

Adobe Flash Player ダウンロードセンター
https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次のブラウザについては、Adobe Flash Player が同梱されています。

– Internet Explorer 11 (Windows 10 および Windows 8.1)
– Microsoft Edge (Windows 10)
– Google Chrome

Internet Explorer 11 や Microsoft Edge では、Windows Update などで最新の Adobe Flash Player が更新プログラムとして提供されます。Google Chrome は、Google Chrome のアップデート時に、Adobe Flash Player が更新されます。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、ブラウザ上で Flash を無効にしたり、Flash の表示を
制限することも検討してください。

なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。なお、Microsoft Edge では、Flash を無効にすることが回避策として挙げられます。詳細は参考情報を参照してください。

– Internet Explorer の「インターネットオプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定してください。

V. 参考情報

アドビシステムズ株式会社
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

アドビシステムズ株式会社

Security updates available for Adobe Flash Player (APSB17-32)
https://blogs.adobe.com/psirt/?p=1505

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/