JPCERT/CCからの「JPCERT/CC Alert: Adobe Flash Player の脆弱性 (APSB18-01) に関する注意喚起」をお知らせします。div>
各位
JPCERT-AT-2018-0006
JPCERT/CC
2018-02-02(新規)
2018-02-07(更新)
<<< JPCERT/CC Alert 2018-02-02 >>>
Adobe Flash Player の未修正の脆弱性 (CVE-2018-4878) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180006.html
I. 概要
2018年1月31日に、KrCERT/CC より、Adobe Flash Player の脆弱性に関する注意喚起が公開されました。本件に関連し、アドビから未修正の脆弱性(CVE-2018-4878) に関する情報が公開されました。アドビによると、本脆弱性を悪用した標的型攻撃が発生しているとのことで、海外での公開情報においても、韓国における標的型攻撃で使用されていたとの情報があります。
Adobe Flash Player に関する注意喚起 2018.01.31
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
Security Advisory for Flash Player | APSA18-01
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html
2018年2月2日現在、本脆弱性に関する詳細の情報は公開されていませんが、公開されている情報からは、本脆弱性を悪用された場合に、任意のコードが実行されるなどの影響を受ける可能性が考えられます。アドビによれば、2月5日以降に本脆弱性を修正したバージョンを公開する予定とのことです。公開後、速やかに修正バージョンを適用できるように準備することを推奨いたします。
** 更新: 2018年 2月 7日追記*******************************************
アドビから、2018年2月6日 (現地時間) 本脆弱性を修正したバージョンが公開されました。「III. 対策」の内容に基づき、速やかに修正済みのバージョンを適用することを推奨いたします。
**********************************************************************
II. 対象
アドビによれば、本脆弱性の影響を受ける製品およびバージョンは次のとおりです。
(Windows, Macintosh および Linux)
(Windows, Macintosh, Linux および Chrome OS)
(Windows 10 および Windows 8.1)
KrCERT/CC の注意喚起では、影響を受ける製品およびバージョンとして、Microsoft Internet Explorer に対する Adobe Flash Player が挙げられていますが、アドビからの情報によれば、それ以外のブラウザを利用している場合にも脆弱性の影響を受けるとされています。
https://helpx.adobe.com/jp/flash-player.html
なお、Windows 10 および Windows 8.1 では、Windows Update などでInternet Explorer 11 や Microsoft Edge に対する最新の Adobe Flash Player が更新プログラムとして提供されます。Microsoft から提供される情報に注意してください。
III. 対策
2018年2月2日現在、アドビからは、対策済みのバージョンは公開されていません。アドビによると、現地時間 2018年2月5日の週に本脆弱性を修正するセキュリティ更新プログラムが公開される予定とのことです。また、アドビ以外のディストリビューターから配布される Adobe Flash Player について、アドビからの公開後、対策済みのバージョンが配布されると考えられます。アドビや、ディストリビューターからの情報に注意し、公開後は速やかに適用することを推奨します。
JPCERT/CC では、アドビから対策済みのバージョンが公開され次第、本注意喚起を更新する予定です。
** 更新: 2018年 2月 7日追記 ******************************************
脆弱性が修正された Adobe Flash Player が公開されました。次の情報を参考に修正済みのバージョンに更新してください。なお、今回の修正には、アドバイザリ (APSA18-01) で指摘されていた脆弱性 (CVE-2018-4878) 以外の修正も含まれています。
(Windows, Macintosh および Linux)
(Windows, Macintosh, Linux および Chrome OS)
(Windows 10 および Windows 8.1)
Adobe Flash Player ダウンロードセンター
https://get.adobe.com/jp/flashplayer/
アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-03
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html
**********************************************************************
IV. 回避策
本脆弱性の影響を軽減するために、以下の回避策もご検討ください。なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。回避策の適用については、十分に事前検証を行ってください。
ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。
タブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定してください
また、Microsoft Office に Flash を埋め込まれるケースも報告されています。
不審なファイルは開かないように注意するとともに、ファイルを開く必要がある場合はMicrosoft Office の「保護されたビュー」で開くことで、影響を回避することができます。
V. 参考情報
アドビシステムズ株式会社
Security Advisory for Flash Player | APSA18-01
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html
Adobe Flash Player に関する注意喚起 2018.01.31
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a9
6ca
** 更新: 2018年 2月 7日追記*******************************************
アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-03
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html
Security updates available for Adobe Flash Player (APSB18-03)
https://blogs.adobe.com/psirt/?p=1522
**********************************************************************
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: 
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/