2018-02-02: セキュリティニュースまとめ: Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
ソース
KISA からのセキュリティ情報 www.krcert.or.kr
報告者 Simon Choi 氏のツイート
Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh
— Simon Choi (@issuemakerslab) 2018年2月1日セキュリティアドバイザリ (Adobe) helpx.adobe.com
概要
- Adobe Flash Player に新規の脆弱性 注意勧告 2018.01.31
- Adobe Flash Player にゼロデイ脆弱性が発見される
- 攻撃者は細工をした Flash ファイルが含まれている Microsoft Office 文書、Web ページ、迷惑メールなどをユーザーが開くように誘導して悪意のあるコードを配布する可能性がある
脆弱性関連情報
脆弱性のカテゴリ | 影響度 | 深刻度 | CVE 番号 |
---|---|---|---|
Use-after-free (解放後のメモリ使用) | リモートからのコード実行 | 致命的 | CVE-2018-4878 |
影響を受ける製品とバージョン (Adobe)
製品 | バージョン | プラットフォーム |
---|---|---|
Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Windows, Macintosh |
Adobe Flash Player for Google Chrome | 28.0.0.137 およびそれ以前 | Windows, Macintosh, Linux, Chrome OS |
Adobe Flash Player for Microsoft Edge および Internet Explorer 11 | 28.0.0.137 およびそれ以前 | Windows 10, 8.1 |
Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Linux |
修正パッチ
回避方法
削除方法
ベストプラクティス
- 怪しいウェブサイトを訪問しない
- 送信者不明おメールに添付されているファイルを閲覧せず、URL リンクを開かない
- 使用しているデスクトップ AV ソフトウェアの定義ファイル(パターンファイル) を最新にする
- リアルタイム監視機能を有効にする
- Flash が有効な Internet Explorer (IE) のユーザーは影響を受けるため、パッチがリリースされるまでは Flash が無効に設定されている Chrome、Firefox を使用する