Adobe Flash Player Vulnerability (CVE-2015-5122)
2015年8月16日
危険度: 緊急
CVE識別番号: CVE-2015-5122
情報公開日: 7 12, 2015
概要
「Hacking Team」の情報漏えい事例で確認されたゼロデイ脆弱性です。このゼロデイ脆弱性は、Windows版、MAC版、Linux版のFlash Playerの全バージョンに影響を与えます。この不具合は、「TextBlock.createTextLine()」および「TextBlock.recreateText(textLine)」の 2つのメソッドを利用する「Use After Free(解放後使用)」の脆弱性です。「CVE-2015-5122」が利用されると、この脆弱性の影響を受ける PC がクラッシュすることとなり、攻撃者により制御されます。
2015年7月11日現在、この脆弱性を利用するエクスプロイトコードは、「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」であり、弊社は実際の攻撃に使われていないかどうか、現在調査しています。
トレンドマイクロの対策
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
- 1006858 – Adobe Flash ActionScript3 opaqueBackground Use After Free Vulnerability (CVE-2015-5122)
対応方法
影響を受けるソフトウェア
- Adobe Flash Player 18.0.0.203 and earlier versions for Windows and Macintosh
- Adobe Flash Player 18.0.0.204 and earlier versions for Linux installed with Google Chrome
- Adobe Flash Player Extended Support Release version 13.0.0.302 and earlier 13.x versions for Windows and Macintosh
- Adobe Flash Player Extended Support Release version 11.2.202.481 and earlier 11.x versions for Linux