| Title | Flash Player におけるアクセス制限回避の脆弱性 |
|---|---|
| Summary | Flash Player には、アクセス制限回避が可能な脆弱性が存在します。 Flash Player が、Flash コンテンツが設置されているウェブサイトとは別のウェブサイトを参照する場合、参照されるウェブサイトがクロスドメインポリシーファイルによりアクセスを許可している必要があります。 Flash Player には、クロスドメインポリシーファイルによるアクセス制限が回避される脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社シマンテック コンサルティングサービス本部 赤嶺徳治 氏 |
| Possible impacts | 細工されたウェブページにより、ウェブサイトのクロスドメインポリシーが迂回される可能性があります。この結果、ウェブサイト管理者の意図に反してデータにアクセスされる可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 |
| Publication Date | Nov. 9, 2010, midnight |
| Registration Date | Nov. 9, 2010, 11:01 a.m. |
| Last Update | Feb. 1, 2011, 4:20 p.m. |
| CVSS2.0 : 注意 | |
| Score | 2.6 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| レッドハット |
| Red Hat Enterprise Linux Extras 4 extras |
| Red Hat Enterprise Linux Extras 4.8.z extras |
| Red Hat Enterprise Linux Server Supplementary 6 |
| Red Hat Enterprise Linux Workstation Supplementary 6 |
| RHEL Desktop Supplementary 5 (client) |
| RHEL Desktop Supplementary 6 |
| RHEL Supplementary 5 (server) |
| オラクル |
| Oracle Solaris 10 |
| Oracle Solaris 11 Express |
| アドビシステムズ |
| Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、Macintosh 版、Linux 版、Solaris 版 |
| Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版 |
| アップル |
| Apple Mac OS X v10.5.8 |
| Apple Mac OS X v10.6 から v10.6.4 |
| Apple Mac OS X Server v10.5.8 |
| Apple Mac OS X Server v10.6 から v10.6.4 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2010年11月09日] 掲載 [2010年12月03日] 影響を受けるシステム:アップル (HT4435) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2010:0829) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2010:0834) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2010:0867) の情報を追加 ベンダ情報:アップル (HT4435) を追加 ベンダ情報:レッドハット (RHSA-2010:0829) を追加 ベンダ情報:レッドハット (RHSA-2010:0834) を追加 ベンダ情報:レッドハット (RHSA-2010:0867) を追加 [2011年02月01日] 影響を受けるシステム:オラクル (multiple_vulnerabilities_in_adobe_flash1) の情報を追加 ベンダ情報:オラクル (multiple_vulnerabilities_in_adobe_flash1) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Adobe Flash Player before 9.0.289.0 and 10.x before 10.1.102.64 on Windows, Mac OS X, Linux, and Solaris, and 10.1.95.1 on Android, does not properly handle unspecified encodings during the parsing of a cross-domain policy file, which allows remote web servers to bypass intended access restrictions via unknown vectors. |
|---|---|
| Publication Date | Nov. 8, 2010, 7 a.m. |
| Registration Date | Jan. 29, 2021, 11:06 a.m. |
| Last Update | Nov. 21, 2024, 10:19 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* | 9.0 | 9.0.289.0 | |||
| cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* | 10.0 | 10.1.102.64 | |||
| execution environment | |||||
| 1 | cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:* | ||||
| 2 | cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||||
| 3 | cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | ||||
| 4 | cpe:2.3:o:sun:solaris:-:*:*:*:*:*:*:* | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* | 10.1.95.1 | ||||
| execution environment | |||||
| 1 | cpe:2.3:o:google:android:-:*:*:*:*:*:*:* | ||||