JPCERT コーディネーションセンター

Adobe Flash Player の未修正の脆弱性 (CVE-2018-4878) に関する注意喚起

各位

JPCERT-AT-2018-0006
JPCERT/CC
2018-02-02(新規)
2018-02-07(更新)

JPCERT/CC Alert 2018-02-02


Adobe Flash Player の未修正の脆弱性 (CVE-2018-4878) に関する注意喚起

https://www.jpcert.or.jp/at/2018/at180006.html


I. 概要2018年1月31日に、KrCERT/CC より、Adobe Flash Player の脆弱性に関する注意喚起が公開されました。本件に関連し、アドビから未修正の脆弱性(CVE-2018-4878) に関する情報が公開されました。アドビによると、本脆弱性を悪用した標的型攻撃が発生しているとのことで、海外での公開情報においても、韓国における標的型攻撃で使用されていたとの情報があります。

KrCERT/CC
Adobe Flash Player に関する注意喚起 2018.01.31
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998

アドビシステムズ株式会社
Security Advisory for Flash Player | APSA18-01
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

2018年2月2日現在、本脆弱性に関する詳細の情報は公開されていませんが、公開されている情報からは、本脆弱性を悪用された場合に、任意のコードが実行されるなどの影響を受ける可能性が考えられます。アドビによれば、2月5日以降に本脆弱性を修正したバージョンを公開する予定とのことです。公開後、速やかに修正バージョンを適用できるように準備することを推奨いたします。

** 更新: 2018年 2月 7日追記*******************************************アドビから、2018年2月6日 (現地時間) 本脆弱性を修正したバージョンが公開されました。「III. 対策」の内容に基づき、速やかに修正済みのバージョンを適用することを推奨いたします。
**************************************************


II. 対象アドビによれば、本脆弱性の影響を受ける製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (28.0.0.137) およびそれ以前
(Windows, Macintosh および Linux)
- Adobe Flash Player for Google Chrome (28.0.0.137) およびそれ以前
(Windows, Macintosh, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.137) およびそれ以前
(Windows 10 および Windows 8.1)

KrCERT/CC の注意喚起では、影響を受ける製品およびバージョンとして、Microsoft Internet Explorer に対する Adobe Flash Player が挙げられていますが、アドビからの情報によれば、それ以外のブラウザを利用している場合にも脆弱性の影響を受けるとされています。

お使いの Adobe Flash Player のバージョンは、次のページで確認できます。

Flash Player ヘルプ
https://helpx.adobe.com/jp/flash-player.html

なお、Windows 10 および Windows 8.1 では、Windows Update などでInternet Explorer 11 や Microsoft Edge に対する最新の Adobe FlashPlayer が更新プログラムとして提供されます。Microsoft から提供される情報に注意してください。

** 更新: 2018年 2月 7日追記*******************************************Windows 10 用 、Windows 8.1 用 の Adobe Flash Player の更新プログラムが公開されました。Microsoft Update、Windows Update などを用いて、更新プログラムを早急に適用してください。

ADV180004 | February 2018 Adobe Flash Security Update
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180004
**************************************************

※ Internet Explorer 以外のブラウザを使用している場合でも、Microsoft
Office のように、Internet Explorer 用にインストールされている
Adobe Flash Player を使用するソフトウエアがありますので、Internet
Explorer 用の Adobe Flash Player も更新してください。


III. 対策2018年2月2日現在、アドビからは、対策済みのバージョンは公開されていません。アドビによると、現地時間 2018年2月5日の週に本脆弱性を修正するセキュリティ更新プログラムが公開される予定とのことです。また、アドビ以外のディストリビューターから配布される Adobe Flash Player について、アドビからの公開後、対策済みのバージョンが配布されると考えられます。アドビや、ディストリビューターからの情報に注意し、公開後は速やかに適用することを推奨します。JPCERT/CC では、アドビから対策済みのバージョンが公開され次第、本注意喚起を更新する予定です。

** 更新: 2018年 2月 7日追記 ****************
脆弱性が修正された Adobe Flash Player が公開されました。次の情報を参考に修正済みのバージョンに更新してください。なお、今回の修正には、アドバイザリ (APSA18-01) で指摘されていた脆弱性 (CVE-2018-4878) 以外の修正も含まれています。

- Adobe Flash Player Desktop Runtime (28.0.0.161)
(Windows, Macintosh および Linux)
- Adobe Flash Player for Google Chrome (28.0.0.161)
(Windows, Macintosh, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.161)
(Windows 10 および Windows 8.1)

Adobe Flash Player ダウンロードセンター
https://get.adobe.com/jp/flashplayer/

  アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-03
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html
**************************************************


IV. 回避策本脆弱性の影響を軽減するために、以下の回避策もご検討ください。なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。回避策の適用については、十分に事前検証を行ってください。

- 信頼できない Flash コンテンツを表示しない
ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能
を有効にしてください。

- Internet Explorer の「インターネット オプション」からセキュリティ
タブを開き、インターネットゾーンおよびローカルイントラネットゾーン
のセキュリティのレベルを「高」に設定してください。

また、Microsoft Office に Flash を埋め込まれるケースも報告されています。不審なファイルは開かないように注意するとともに、ファイルを開く必要がある場合は Microsoft Office の「保護されたビュー」で開くことで、影響を回避することができます。

Flash Player 27 以降かつ Windows 7 以降で Internet Explorer を実行している場合 SWF コンテンツを再生する際にプロンプトを表示させることで実行を回避できる場合があります。詳細はアドビからの情報を参照してください。


V. 参考情報
アドビシステムズ株式会社
Security Advisory for Flash Player | APSA18-01
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

アドビシステムズ株式会社
Security Advisory for Adobe Flash Player
https://blogs.adobe.com/psirt/?p=1520

KrCERT/CC
Adobe Flash Player に関する注意喚起 2018.01.31
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998

マイクロソフト株式会社
Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

** 更新: 2018年 2月 7日追記 ****************
  アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-03
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

アドビシステムズ株式会社
Security updates available for Adobe Flash Player (APSB18-03)
https://blogs.adobe.com/psirt/?p=1522

マイクロソフト株式会社
ADV180004 | February 2018 Adobe Flash Security Update
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180004
**************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2018-02-02 初版
2018-02-07 「I. 概要」、「III. 対策」、「V. 参考情報」の修正
2018-02-07 「II. 対象」「V. 参考情報」にマイクロソフト株式会社の情報を追記

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter