-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0006 JPCERT/CC 2018-02-02(新規) 2018-02-07(更新) <<< JPCERT/CC Alert 2018-02-02 >>> Adobe Flash Player の未修正の脆弱性 (CVE-2018-4878) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180006.html I. 概要 2018年1月31日に、KrCERT/CC より、Adobe Flash Player の脆弱性に関する注 意喚起が公開されました。本件に関連し、アドビから未修正の脆弱性 (CVE-2018-4878) に関する情報が公開されました。アドビによると、本脆弱性 を悪用した標的型攻撃が発生しているとのことで、海外での公開情報において も、韓国における標的型攻撃で使用されていたとの情報があります。 KrCERT/CC Adobe Flash Player に関する注意喚起 2018.01.31 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998 アドビシステムズ株式会社 Security Advisory for Flash Player | APSA18-01 https://helpx.adobe.com/security/products/flash-player/apsa18-01.html 2018年2月2日現在、本脆弱性に関する詳細の情報は公開されていませんが、公 開されている情報からは、本脆弱性を悪用された場合に、任意のコードが実行 されるなどの影響を受ける可能性が考えられます。 アドビによれば、2月5日以降に本脆弱性を修正したバージョンを公開する予定 とのことです。公開後、速やかに修正バージョンを適用できるように準備する ことを推奨いたします。 ** 更新: 2018年 2月 7日追記******************************************* アドビから、2018年2月6日 (現地時間) 本脆弱性を修正したバージョンが公開 されました。「III. 対策」の内容に基づき、速やかに修正済みのバージョン を適用することを推奨いたします。 ********************************************************************** II. 対象 アドビによれば、本脆弱性の影響を受ける製品およびバージョンは次のとおり です。 - Adobe Flash Player Desktop Runtime (28.0.0.137) およびそれ以前 (Windows, Macintosh および Linux) - Adobe Flash Player for Google Chrome (28.0.0.137) およびそれ以前 (Windows, Macintosh, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.137) およびそれ以前 (Windows 10 および Windows 8.1) KrCERT/CC の注意喚起では、影響を受ける製品およびバージョンとして、 Microsoft Internet Explorer に対する Adobe Flash Player が挙げられてい ますが、アドビからの情報によれば、それ以外のブラウザを利用している場合 にも脆弱性の影響を受けるとされています。 お使いの Adobe Flash Player のバージョンは、次のページで確認できます。 Flash Player ヘルプ https://helpx.adobe.com/jp/flash-player.html なお、Windows 10 および Windows 8.1 では、Windows Update などで Internet Explorer 11 や Microsoft Edge に対する最新の Adobe Flash Player が更新プログラムとして提供されます。Microsoft から提供される情 報に注意してください。 ** 更新: 2018年 2月 7日追記******************************************* Windows 10 用 、Windows 8.1 用 の Adobe Flash Player の更新プログラム が公開されました。Microsoft Update、Windows Update などを用いて、更新 プログラムを早急に適用してください。 ADV180004 | February 2018 Adobe Flash Security Update https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180004 ********************************************************************** ※ Internet Explorer 以外のブラウザを使用している場合でも、Microsoft Office のように、Internet Explorer 用にインストールされている Adobe Flash Player を使用するソフトウエアがありますので、Internet Explorer 用の Adobe Flash Player も更新してください。 III. 対策 2018年2月2日現在、アドビからは、対策済みのバージョンは公開されていませ ん。アドビによると、現地時間 2018年2月5日の週に本脆弱性を修正するセキュ リティ更新プログラムが公開される予定とのことです。また、アドビ以外のディ ストリビューターから配布される Adobe Flash Player について、アドビから の公開後、対策済みのバージョンが配布されると考えられます。アドビや、ディ ストリビューターからの情報に注意し、公開後は速やかに適用することを推奨 します。 JPCERT/CC では、アドビから対策済みのバージョンが公開され次第、本注意喚 起を更新する予定です。 ** 更新: 2018年 2月 7日追記 ****************************************** 脆弱性が修正された Adobe Flash Player が公開されました。次の情報を参考に 修正済みのバージョンに更新してください。なお、今回の修正には、アドバイザ リ (APSA18-01) で指摘されていた脆弱性 (CVE-2018-4878) 以外の修正も含まれ ています。 - Adobe Flash Player Desktop Runtime (28.0.0.161) (Windows, Macintosh および Linux) - Adobe Flash Player for Google Chrome (28.0.0.161) (Windows, Macintosh, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.161) (Windows 10 および Windows 8.1) Adobe Flash Player ダウンロードセンター https://get.adobe.com/jp/flashplayer/   アドビシステムズ株式会社 Security updates available for Flash Player | APSB18-03 https://helpx.adobe.com/security/products/flash-player/apsb18-03.html ********************************************************************** IV. 回避策 本脆弱性の影響を軽減するために、以下の回避策もご検討ください。なお、回 避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合 が発生する可能性があります。回避策の適用については、十分に事前検証を行っ てください。 - 信頼できない Flash コンテンツを表示しない ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能 を有効にしてください。 - Internet Explorer の「インターネット オプション」からセキュリティ タブを開き、インターネットゾーンおよびローカルイントラネットゾーン のセキュリティのレベルを「高」に設定してください。 また、Microsoft Office に Flash を埋め込まれるケースも報告されています。 不審なファイルは開かないように注意するとともに、ファイルを開く必要があ る場合は Microsoft Office の「保護されたビュー」で開くことで、影響を回 避することができます。 Flash Player 27 以降かつ Windows 7 以降で Internet Explorer を実行して いる場合 SWF コンテンツを再生する際にプロンプトを表示させることで実行 を回避できる場合があります。詳細はアドビからの情報を参照してください。 V. 参考情報 アドビシステムズ株式会社 Security Advisory for Flash Player | APSA18-01 https://helpx.adobe.com/security/products/flash-player/apsa18-01.html アドビシステムズ株式会社 Security Advisory for Adobe Flash Player https://blogs.adobe.com/psirt/?p=1520 KrCERT/CC Adobe Flash Player に関する注意喚起 2018.01.31 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998 マイクロソフト株式会社 Microsoft Edge における Flash Player の有効・無効 https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca ** 更新: 2018年 2月 7日追記 ******************************************   アドビシステムズ株式会社 Security updates available for Flash Player | APSB18-03 https://helpx.adobe.com/security/products/flash-player/apsb18-03.html アドビシステムズ株式会社 Security updates available for Adobe Flash Player (APSB18-03) https://blogs.adobe.com/psirt/?p=1522 マイクロソフト株式会社 ADV180004 | February 2018 Adobe Flash Security Update https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180004 ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡 ください。 ________ 改訂履歴 2018-02-02 初版 2018-02-07 「I. 概要」、「III. 対策」、「V. 参考情報」の修正 2018-02-07 「II. 対象」「V. 参考情報」にマイクロソフト株式会社の情報を追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaepGRAAoJEDF9l6Rp7OBIHdIH/3XYUGOK4h2TWngW2U0PQjmH /CTeYTeycvKxRvtKACgAbTUt7YZH3I1RKhCdHxTw7FtMTdWiMq6QZGRPRGJNsFjo HTfcHTW7DO5kvP5DYNGA5whIto0hADhVZZsijEdEWlsjHacdozxyn0/yw5RjrH6k NZUslDjfadwPNvJaiXBj6NGwz06yVqEMbAj1fzoa5rXhc8pTTlt+j4CR04KSz39r mO8Ubmc8SNPpTRtfDAbivTIYZL/Okic/KiI5S20oGI+MJ77cBzscKhtdg/2HYf3v jSVF40/Tn40HSHwSW1K0ieNydomiU7N7bLEJRdtvQAQB0BmivdksP73+B75WkL0= =pBFd -----END PGP SIGNATURE-----