Trusted DesignCVE-2015-8651 の詳細
CVEの情報
説明:
Integer overflow in Adobe Flash Player before 18.0.0.324 and 19.x and 20.x before 20.0.0.267 on Windows and OS X and before 11.2.202.559 on Linux, Adobe AIR before 20.0.0.233, Adobe AIR SDK before 20.0.0.233, and Adobe AIR SDK & Compiler before 20.0.0.233 allows attackers to execute arbitrary code via unspecified vectors.
CVE更新日: 2015-12-28 23:59:19.050000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2022-05-25
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.890560000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2015-8651に関する脆弱性調査結果を以下に解説します。
CVE-2015-8651
1. 脆弱性の概要 CVE-2015-8651は、Adobe Flash Player、Adobe AIR、Adobe AIR SDK、およびAdobe AIR SDK & Compilerにおける整数オーバーフローの脆弱性です。 この脆弱性は、ドメインメモリへのオペコード実行に関連するアクセスアドレスの範囲の判断が不正確であることによって引き起こされます。
1.1 影響 本脆弱性が悪用されると、攻撃者は任意のコードを実行できる可能性があります。 これにより、最悪の場合、攻撃者が影響を受けるシステムを完全に制御する可能性があります。 機密性、完全性、可用性の全てにおいて影響は「高」と評価されています。
1.2 深刻度 * CVSS v3.1基本評価値: 8.8 (High) * 攻撃元区分: ネットワーク * 攻撃条件の複雑さ: 低 * 必要な特権レベル: 不要 * ユーザ関与: 必要 * スコープ: 変更なし * 機密性への影響: 高 * 完全性への影響: 高 * 可用性への影響: 高 * CVSS v2基本評価値: 9.3 (Critical) * 攻撃元区分: ネットワーク * 攻撃条件の複雑さ: 中 * 認証: 不要 * 機密性への影響: 全面的 * 完全性への影響: 全面的 * 可用性への影響: 全面的 * Adobe社基準では「Critical(最高)」と評価されています。
2. 対象となる環境
2.1 影響を受けるOSバージョン 以下のバージョンが影響を受けます。 * WindowsおよびOS X版Adobe Flash Player 18.0.0.324より前のバージョン * WindowsおよびOS X版Adobe Flash Player 19.xおよび20.xの20.0.0.267より前のバージョン * Linux版Adobe Flash Player 11.2.202.559より前のバージョン * Adobe AIR 20.0.0.233より前のバージョン * Adobe AIR SDK 20.0.0.233より前のバージョン * Adobe AIR SDK & Compiler 20.0.0.233より前のバージョン * Google Chrome、Windows 8/8.1のInternet Explorer 10/11、Windows 10のInternet Explorer 11/Microsoft Edgeに同梱されているFlash Playerも影響を受けます。
2.2 影響を受ける設定 不明。特定の環境設定に依存するものではなく、製品のコア機能における脆弱性です。
3. 影響を受けた時の兆候 本脆弱性はゼロデイ攻撃として悪用が確認されており、攻撃者がシステムを制御することを目的としているため、直接的な兆候は少ない可能性があります。 攻撃は、改ざんされたウェブページを介して標的型攻撃として行われることが多く、Flashエクスプロイトを読み込み、システム情報を確認した後、脆弱性をトリガーし、ヒープスプレーやシェルコードの実行が行われる可能性があります。 不審なシステムの挙動や予期せぬプロセスの実行などが間接的な兆候となり得ますが、攻撃の性質上、ユーザーが明示的に気づくようなエラー表示などは通常期待されません。
4. 推奨対策
4.1 本対策 * 影響を受ける製品のアップデート: 以下のバージョン以降にアップデートしてください。 * Adobe Flash Player Extended Support Release: 18.0.0.324 以降 * Adobe Flash Player Desktop Runtime: 20.0.0.267 以降 * Adobe Flash Player (Linux版): 11.2.202.559 以降 * Adobe AIR: 20.0.0.233 以降 * Adobe AIR SDK: 20.0.0.233 以降 * Adobe AIR SDK & Compiler: 20.0.0.233 以降 * Google Chrome、WindowsのInternet ExplorerおよびMicrosoft Edgeに搭載されているFlash Playerは、それぞれGoogle Chromeの自動更新またはWindows Updateを通じて最新版が提供されます。 * Adobe Flash Playerは2020年12月31日をもってサポート終了 (End-of-Life) しています。 脆弱性のあるFlash Playerを継続して使用している場合は、直ちにシステムからアンインストールするか、利用を停止することを強く推奨します。
4.2 暫定回避策(緩和策) 特定の暫定回避策は明示されていません。ゼロデイ脆弱性であり、任意のコード実行につながるため、最も効果的な対策は速やかなアップデートまたはFlash Playerのアンインストールです。
他に解説すべき観点
参照したサイト: