Trusted Design

解説:

CVE-2016-7892について、以下の観点で解説します。

1. 脆弱性の概要

Adobe Flash PlayerのTextFieldクラスに、解放済みメモリ使用（use-after-free）の脆弱性が存在します。この脆弱性を悪用したコンテンツをユーザーが開いた場合、リモートからの攻撃によってAdobe Flash Playerが不正終了したり、任意のコードが実行される可能性があります。

1.1 影響 * 任意のコード実行 * Adobe Flash Playerの不正終了（クラッシュ）

1.2 深刻度 NVD（National Vulnerability Database）では、このCVEレコードはリソースやその他の懸念によりNVDの充実化の優先度が設定されていません。 しかし、任意のコード実行につながる可能性があることから、一般的に深刻度は「緊急」または「重要」に分類されます。

2. 対象となる環境

製品: * Adobe Flash Player

バージョン: * Adobe Flash Player 23.0.0.207 およびそれ以前のバージョン * Adobe Flash Player 11.2.202.644 およびそれ以前のバージョン

関連製品 (脆弱性のあるFlash Playerを使用している可能性のある製品): * SVF, SVF Web Designer 9.2 * Dr.Sum EA, Dr.Sum EA TextOLAP 4.0～4.2 * Dr.Sum EA Visualizer 3.0、3.0 SP1 * Dr.Sum EA Datalizer MotionChart 4.0～4.2 * MotionBoard 4.1～5.6

2.1 影響を受けるOSバージョン この脆弱性はAdobe Flash Player自体の問題であるため、上記の脆弱なバージョンのFlash Playerが動作するあらゆるオペレーティングシステム（Windows、macOS、Linuxなど）が影響を受ける可能性があります。検索結果からは特定のOSバージョンの明記はありません。

2.2 影響を受ける設定 不明。特定のシステム設定に依存するものではなく、Flash Playerの内部的な処理に起因する脆弱性です。

3. 影響を受けた時の兆候

• Adobe Flash Playerが予期せず終了する（クラッシュする）
• 不審な動作やシステムの不安定化（任意のコード実行が行われた場合）

4. 推奨対策

4.1 本対策 Adobe Flash Playerは2020年末をもってサポートが終了しており（End-of-Life, EoL）、アドビ社によるセキュリティアップデートの提供は終了しています。したがって、Flash Playerをシステムから完全にアンインストールすることが最も推奨される対策です。

4.2 暫定回避策（緩和策） Adobe Flash Playerは既にサポートが終了しているため、暫定的な回避策ではなく、速やかにアンインストールすることが最終的な対策となります。過去の対策としては、ブラウザでのFlashコンテンツの無効化や、「クリックして再生」機能の利用などが挙げられましたが、現在ではこれらの対策は推奨されません。

5. その他

• APSB ID: APSB16-39
• CWE: CWE-416 (Use After Free / 解放済みメモリの使用)
• 公開日: 2016年12月15日 (NVD Published Date)

---

参照したサイト:

• CVE-2016-7892 Detail - NVD
• Adobe Flash Player における解放済みメモリ使用の脆弱性(CVE-2016-7892)について
• JVNDB-2016-004092 - JVN iPedia - 脆弱性対策情報データベース