製品・ソフトウェアに関する情報
Vulnerability Search
Adobe Flash Player における iframe 内のコンテンツを上書きしてしまう問題
Title Adobe Flash Player における iframe 内のコンテンツを上書きしてしまう問題
Summary

Adobe Flash Player には、same-origin policy を迂回し iframe 内のコンテンツを不正に上書きしてしまう問題が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 赤嶺 徳治 氏

Possible impacts 細工された Flash コンテンツを処理することで、iframe 内のコンテンツが上書きされる可能性があります。 
Solution

[アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。 本問題は、2015 年 10 月 13 日に修正されています。
Publication Date Oct. 13, 2015, midnight
Registration Date Oct. 16, 2015, 3:24 p.m.
Last Update Dec. 17, 2015, 12:03 p.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:N
Affected System
マイクロソフト
Microsoft Edge (Windows 10)
Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT)
Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1)
アドビシステムズ
Adobe AIR デスクトップランタイム 19.0.0.213 未満 (Windows/Macintosh)
Adobe AIR SDK 19.0.0.213 未満 (Windows/Macintosh/Android/iOS)
Adobe AIR SDK & Compiler 19.0.0.213 未満 (Windows/Macintosh/Android/iOS)
Adobe Flash Player 11.2.202.535 未満 (Linux)
Adobe Flash Player 19.0.0.207 未満 (Windows 10 版の Microsoft Edge/Internet Explorer 11)
Adobe Flash Player 19.0.0.207 未満 (Windows 8.0 および 8.1 版の Internet Explorer 10/11)
Adobe Flash Player 19.0.0.207 未満 (Windows/Macintosh/Linux/ChromeOS 版の Chrome)
Adobe Flash Player デスクトップランタイム 19.0.0.207 未満 (Windows/Macintosh)
Adobe Flash Player 継続サポートリリース 18.0.0.252 未満 (Windows/Macintosh)
Google
Google Chrome 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年10月16日]
  掲載
[2015年12月17日]
  JVN#22533124 にあわせ、タイトル、概要、画像、CVSS による深刻度、影響を受けるシステム、想定される影響、対策、参考情報、CWE を更新		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2015-7628
Summary

Adobe Flash Player before 18.0.0.252 and 19.x before 19.0.0.207 on Windows and OS X and before 11.2.202.535 on Linux, Adobe AIR before 19.0.0.213, Adobe AIR SDK before 19.0.0.213, and Adobe AIR SDK & Compiler before 19.0.0.213 allow remote attackers to bypass the Same Origin Policy and obtain sensitive information via unspecified vectors.

Publication Date Oct. 15, 2015, 9 a.m.
Registration Date Jan. 26, 2021, 2:56 p.m.
Last Update Nov. 21, 2024, 11:37 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 19.0.0.185
execution environment
1 cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:* 19.0.0.190
cpe:2.3:a:adobe:air_sdk:*:*:*:*:*:*:*:* 19.0.0.190
cpe:2.3:a:adobe:air_sdk_\&_compiler:*:*:*:*:*:*:*:* 19.0.0.190
execution environment
1 cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 11.2.202.521
execution environment
1 cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:* 19.0.0.190
execution environment
1 cpe:2.3:o:google:android:*:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List