製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows 上で稼働する Adobe Flash Player における任意のコードを実行される脆弱性

Title	Windows 上で稼働する Adobe Flash Player における任意のコードを実行される脆弱性
Summary	Windows 上で稼働する Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。
Possible impacts	第三者により、オーバーフローを利用されることで、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 12, 2013, midnight
Registration Date	March 15, 2013, 3:49 p.m.
Last Update	Oct. 24, 2013, 12:11 p.m.

CVSS2.0 : 危険
Score	10
Vector	AV:N/AC:L/Au:N/C:C/I:C/A:C

Affected System

アドビシステムズ

Adobe AIR 3.7.0.1530 未満 (Windows、Macintosh、および Android)

Adobe AIR SDK (SDK & Compiler) 3.7.0.1530 未満

Adobe Flash Player 11.1.111.50 未満 (Android 2.x および 3.x)

Adobe Flash Player 11.1.115.54 未満 (Android 4.x)

Adobe Flash Player 11.2.202.280 未満 (Linux)

Adobe Flash Player 11.7.700.169 未満 (Windows および Macintosh)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2555	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2555
National Vulnerability Database (NVD)
2	CVE-2013-2555	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2555

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-189	https://jvndb.jvn.jp/ja/cwe/CWE-189.html

ベンダー情報

No	Name	URL
Adobe Security Bulletin
1	APSB13-11	http://www.adobe.com/support/security/bulletins/apsb13-11.html
Adobe セキュリティ情報
2	APSB13-11 (cq04091730)	http://helpx.adobe.com/jp/flash-player/kb/cq04091730.html
opensuse-security-announce
3	openSUSE-SU-2013:0675	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00019.html
4	SUSE-SU-2013:0670	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00016.html
opensuse-updates
5	openSUSE-SU-2013:0672	http://lists.opensuse.org/opensuse-updates/2013-04/msg00081.html
Red Hat Security Advisory
6	RHSA-2013:0730	http://rhn.redhat.com/errata/RHSA-2013-0730.html
アドビシステムズサポート
7	Adobe Flash Player - ダウンロード	http://www.adobe.com/jp/support/flashplayer/downloads.html
富士通セキュリティ情報
8	アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/adobe/20130411f.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	Adobe Flash Player の脆弱性対策について(APSB13-11)(CVE-2013-1378等)	http://www.ipa.go.jp/security/ciadr/vul/20130410-adobeflashplayer.html
JPCERT 注意喚起
2	JPCERT-AT-2013-0020	https://www.jpcert.or.jp/at/2013/at130020.txt
警察庁 @police
3	アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて	http://www.npa.go.jp/cyberpolice/topics/?seq=11224
関連文書
4	Pwn2Own 2013	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157

Change Log

No	Changed Details	Date of change
0	[2013年03月15日] 掲載 [2013年03月19日] CVSS による深刻度：基本値と脆弱性評価基準を追加 CWE による脆弱性タイプ一覧：CWE-ID を追加 [2013年04月11日] 影響を受けるシステム：APSB13-11 記載のバージョン情報に変更ベンダ情報：APSB13-11 の情報に修正 [2013年04月15日] ベンダ情報：富士通 (アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ) を追加 [2013年05月21日] ベンダ情報：レッドハット (RHSA-2013:0730) を追加ベンダ情報：openSUSE(openSUSE-SU-2013:0672) を追加ベンダ情報：openSUSE(openSUSE-SU-2013:0675) を追加ベンダ情報：openSUSE(SUSE-SU-2013:0670) を追加 [2013年10月24日] CWE による脆弱性タイプ一覧：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-2555

Summary	Integer overflow in Adobe Flash Player before 10.3.183.75 and 11.x before 11.7.700.169 on Windows and Mac OS X, before 10.3.183.75 and 11.x before 11.2.202.280 on Linux, before 11.1.111.50 on Android 2.x and 3.x, and before 11.1.115.54 on Android 4.x; Adobe AIR before 3.7.0.1530; and Adobe AIR SDK & Compiler before 3.7.0.1530 allows remote attackers to execute arbitrary code via unspecified vectors, as demonstrated by VUPEN during a Pwn2Own competition at CanSecWest 2013.
Publication Date	March 11, 2013, 7:55 p.m.
Registration Date	Jan. 26, 2021, 3:38 p.m.
Last Update	Nov. 21, 2024, 10:51 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::			11.1.115.48
execution environment
1	cpe:2.3:o:google:android::::::::

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::			11.1.111.44
execution environment
1	cpe:2.3:o:google:android::::::::

Configuration3		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::		11.0	11.6.602.180
execution environment
1	cpe:2.3:o:apple:macos:-:::::::*
2	cpe:2.3:o:microsoft:windows:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::		11.0	11.2.202.275
execution environment
1	cpe:2.3:o:linux:linux_kernel:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:a:adobe:air::::::::			3.6.0.6090
execution environment
1	cpe:2.3:o:apple:macos:-:::::::*
2	cpe:2.3:o:google:android:-:::::::*
3	cpe:2.3:o:microsoft:windows:-:::::::*

Configuration6	or higher	or less	more than	less than
cpe:2.3:o:opensuse:opensuse:12.3:::::::*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2::::::
cpe:2.3:o:opensuse:opensuse:11.4:::::::*
cpe:2.3:o:opensuse:opensuse:12.2:::::::*
cpe:2.3:o:opensuse:opensuse:12.1:::::::*

Configuration7	or higher	or less	more than	less than
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.4:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_aus:5.9:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:5.9:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:6.4:::::::*

Configuration8		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::					10.3.183.75
execution environment
1	cpe:2.3:o:apple:macos:-:::::::*
2	cpe:2.3:o:microsoft:windows:-:::::::*

Configuration9		or higher	or less	more than	less than
cpe:2.3:a:adobe:flash_player::::::::			10.3.183.75
execution environment
1	cpe:2.3:o:linux:linux_kernel:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2013-04/0197.html	Broken Link
2	http://archives.neohapsis.com/archives/bugtraq/2013-04/0197.html	Broken Link
3	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157	Permissions Required
4	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157	Permissions Required
5	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00016.html	Mailing List Third Party Advisory
6	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00016.html	Mailing List Third Party Advisory
7	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00019.html	Mailing List Third Party Advisory
8	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00019.html	Mailing List Third Party Advisory
9	http://lists.opensuse.org/opensuse-updates/2013-04/msg00081.html	Mailing List Third Party Advisory
10	http://lists.opensuse.org/opensuse-updates/2013-04/msg00081.html	Mailing List Third Party Advisory
11	http://marc.info/?l=bugtraq&m=139455789818399&w=2	Third Party Advisory
12	http://marc.info/?l=bugtraq&m=139455789818399&w=2	Third Party Advisory
13	http://rhn.redhat.com/errata/RHSA-2013-0730.html	Third Party Advisory
14	http://rhn.redhat.com/errata/RHSA-2013-0730.html	Third Party Advisory
15	http://twitter.com/thezdi/statuses/309756927301283840	Third Party Advisory
16	http://twitter.com/thezdi/statuses/309756927301283840	Third Party Advisory
17	http://twitter.com/VUPEN/statuses/309713355466227713	Broken Link
18	http://twitter.com/VUPEN/statuses/309713355466227713	Broken Link
19	http://www.adobe.com/support/security/bulletins/apsb13-11.html	Vendor Advisory
20	http://www.adobe.com/support/security/bulletins/apsb13-11.html	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-190	整数オーバーフローまたはラップアラウンド	https://cwe.mitre.org/data/definitions/190.html

Configuration7	or higher	or less	more than	less than
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.4:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_aus:5.9:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:5.9:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:6.4:::::::*