製品・ソフトウェアに関する情報

JVN脆弱性詳細

Adobe Flash Player における任意のコードを実行される脆弱性

タイトル	Adobe Flash Player における任意のコードを実行される脆弱性
概要	Adobe Flash Player には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。本脆弱性への攻撃が 2016 年 10 月に観測されています。補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html
想定される影響	第三者により、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年10月26日0:00
登録日	2016年11月7日14:02
最終更新日	2016年11月7日14:02

影響を受けるシステム

アドビシステムズ

Adobe Flash Player 11.2.202.643 未満 (Linux)

Adobe Flash Player 23.0.0.205 未満 (Windows 10 and 8.1 版の Microsoft Edge/Internet Explorer 11)

Adobe Flash Player 23.0.0.205 未満 (Windows/Macintosh/Linux/Chrome OS 版の Chrome)

Adobe Flash Player デスクトップランタイム 23.0.0.205 未満 (Windows/Macintosh)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7855	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7855
National Vulnerability Database (NVD)
2	CVE-2016-7855	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7855

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Adobe Security Bulletin
1	APSB16-36	https://helpx.adobe.com/security/products/flash-player/apsb16-36.html
Adobe セキュリティ情報
2	APSB16-36	https://helpx.adobe.com/jp/security/products/flash-player/apsb16-36.html
Google
3	Chrome Releases	http://googlechromereleases.blogspot.jp/
4	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
5	Google Chrome を更新する	https://support.google.com/chrome/answer/95414?hl=ja
Google Security Blog
6	Disclosing vulnerabilities to protect users	https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html
Microsoft Security Advisory
7	MS16-128	https://technet.microsoft.com/en-us/library/security/ms16-128.aspx
マイクロソフトセキュリティアドバイザリ
8	MS16-128	https://technet.microsoft.com/ja-jp/library/security/ms16-128.aspx
富士通セキュリティ情報
9	アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/adobe/20161028f.html

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	Adobe Flash Player の脆弱性対策について(APSB16-36)(CVE-2016-7855)	https://www.ipa.go.jp/security/ciadr/vul/20161027-adobeflashplayer.html
JPCERT 注意喚起
2	JPCERT-AT-2016-0043	http://www.jpcert.or.jp/at/2016/at160043.html

変更履歴

No	変更内容	変更日
0	[2016年11月07日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-7855

概要	Use-after-free vulnerability in Adobe Flash Player before 23.0.0.205 on Windows and OS X and before 11.2.202.643 on Linux allows remote attackers to execute arbitrary code via unspecified vectors, as exploited in the wild in October 2016.
概要	Vulnerabilidad de uso después de liberación de memoria en Adobe Flash Player en versiones anteriores a 23.0.0.205 en Windows y OS X y en versiones anteriores a 11.2.202.643 en Linux permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados, según se ha explotado activamente en octubre de 2016.
公表日	2016年11月2日7:59
登録日	2021年1月26日14:17
最終更新日	2026年4月22日6:10

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:adobe:flash_player::::::chrome::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::edge::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::internet_explorer::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::linux::*		11.2.202.637
cpe:2.3:a:adobe:flash_player::::::::		23.0.0.185
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*

構成2		以上	以下	より上	未満

関連情報、対策とツール

No	URL	refsource
1	http://rhn.redhat.com/errata/RHSA-2016-2119.html	psirt@adobe.com
2	http://www.securityfocus.com/bid/93861	psirt@adobe.com
3	http://www.securitytracker.com/id/1037111	psirt@adobe.com
4	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-128	psirt@adobe.com
5	https://helpx.adobe.com/security/products/flash-player/apsb16-36.html	psirt@adobe.com
6	https://security.gentoo.org/glsa/201610-10	psirt@adobe.com
7	https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html	psirt@adobe.com
8	http://rhn.redhat.com/errata/RHSA-2016-2119.html	af854a3a-2127-422b-91ae-364da2661108
9	http://www.securityfocus.com/bid/93861	af854a3a-2127-422b-91ae-364da2661108
10	http://www.securitytracker.com/id/1037111	af854a3a-2127-422b-91ae-364da2661108
11	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-128	af854a3a-2127-422b-91ae-364da2661108
12	https://helpx.adobe.com/security/products/flash-player/apsb16-36.html	af854a3a-2127-422b-91ae-364da2661108
13	https://security.gentoo.org/glsa/201610-10	af854a3a-2127-422b-91ae-364da2661108
14	https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html	af854a3a-2127-422b-91ae-364da2661108
15	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-7855	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-416	解放済みメモリの使用	https://cwe.mitre.org/data/definitions/416.html

構成1	以上	以下	より上	未満
cpe:2.3:a:adobe:flash_player::::::chrome::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::edge::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::internet_explorer::*		23.0.0.185
cpe:2.3:a:adobe:flash_player::::::linux::*		11.2.202.637
cpe:2.3:a:adobe:flash_player::::::::		23.0.0.185
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*