2015年1月22日、1月23日(日本時間)にAdobe Flash Playerの脆弱性、及びそれを悪用する攻撃が確認されており、Adobeから関連情報が公開されました。ここではこの脆弱性に関連する情報をまとめます。
関連情報・注意喚起
タイムライン
| 日時 | 出来事 |
|---|---|
| 2015年1月22日 | Flash Playerの0day(CVE-2015-0311)を悪用するEKを確認したとKafeine氏がBlogにて報告 |
| 2015年1月23日 | AdobeがCVE-2015-0310を修正バージョンとセキュリティ情報を公開(APSB15-02) |
| 〃 | Adobeが脆弱性(CVE-2015-0311)を悪用する攻撃が確認されているとアドバイザリを公開(APSA15-01) |
| 2015年1月25日 | CVE-2015-0311の修正バージョン公開、自動更新より配布開始 |
| 2015年1月27日 | CVE-2015-0311含む2件の脆弱性を修正したバージョンの手動アップデート版を公開(APSB15-03) |
脆弱性まとめ
| CVE | CVE-2015-0310 | CVE-2015-0311 |
|---|---|---|
| 発見・公開日 | 2015年1月23日 | 2015年1月22日 |
| 脆弱性の悪用 | 有り | 有り |
| 影響 | 任意のコード実行 | 任意のコード実行 |
| 影響を受けるバージョン | 16.0.0.257以前 13.0.0.260以前 11.2.202.429以前 |
16.0.0.287以前 13.0.0.262以前 11.2.202.438以前 |
| 修正版公開日 | 2015年1月23日 | 2015年1月25日 |
| 修正バージョン | 16.0.0.287 13.0.0.262 11.2.202.438 |
16.0.0.296 13.0.0.26411.2.202.440 |
| Adobe関連情報 | APSB15-02 | APSA15-01 APSB15-03 |
脆弱性悪用に関する情報
CVE-2015-0310
- Angler EKで悪用されているとの情報がある。
CVE-2015-0311
- Angler EKで悪用されているとの情報がある。
- 現時点で日本国内でこの脆弱性を悪用した動きに関する情報は出ていない。
Kafeine氏が確認した影響を受けた環境
| OS | ブラウザ | Flashバージョン |
|---|---|---|
| Windows XP | IE6,IE7,IE8 | 16.0.0.257 |
| Windows XP | IE6,IE7,IE8 | 16.0.0.287 |
| Windows XP | Firefox 35 | 16.0.0.287 |
| Windows 7 | IE8 | 16.0.0.257 |
| Windows 8 | IE10 | 16.0.0.235 |
| Windows 8 | IE10 | 16.0.0.257 |
| Windows 8.1 | IE11 | 16.0.0.257 |
- Google ChromeはEKによる攻撃の影響を受けなかった。
- Firefoxは確認された当初は実行エラーとなっていたが、その後EK側でこの問題が修正された模様。
関連情報
更新履歴
‐2015年1月23日 PM 新規作成
- 2015年1月26日 AM 最新情報を反映
- 2015年1月28日 AM 最新情報を反映
