Trusted Design

CVE-2018-4878 の詳細

CVEの情報

説明:
A use-after-free vulnerability was discovered in Adobe Flash Player before 28.0.0.161. This vulnerability occurs due to a dangling pointer in the Primetime SDK related to media player handling of listener objects. A successful attack can lead to arbitrary code execution. This was exploited in the wild in January and February 2018.

CVE更新日: 2018-02-06 21:29:00.347000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.935110000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2018-4878に関する脆弱性調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2018-4878は、Adobe Flash Playerに存在した解放済みメモリ使用(use-after-free)の脆弱性です。この脆弱性は、Primetime SDK内のメディアプレーヤーがリスナーオブジェクトを処理する際の、ぶら下がりポインタ(dangling pointer)によって引き起こされました。この脆弱性を悪用されると、任意のコード実行につながる可能性があります。2018年1月から2月にかけて、この脆弱性を悪用した攻撃が実際に確認されています。

1.1 影響

この脆弱性が悪用された場合、攻撃者は影響を受けるアプリケーションを実行しているユーザーのコンテキストで任意のコードを実行できる可能性があります。攻撃に失敗した場合、サービス拒否(Denial-of-Service)状態を引き起こす可能性もあります。 悪意のあるデータが挿入されると、任意のコード実行のために「write-what-where」プリミティブが悪用される可能性があり、機密性、整合性、可用性の喪失につながる可能性があります。

1.2 深刻度

  • CVSS v3.0 Base Score: 7.8 (NVD) / 8.8 (Red Hat)
    • 攻撃元区分 (Attack Vector): ネットワーク (Network)
    • 攻撃の複雑さ (Attack Complexity): 低 (Low)
    • 必要な特権 (Privileges Required): 不要 (None)
    • ユーザーインタラクション (User Interaction): 必要 (Required)
    • スコープ (Scope): 変更なし (Unchanged)
    • 機密性への影響 (Confidentiality Impact): 高 (High)
    • 完全性への影響 (Integrity Impact): 高 (High)
    • 可用性への影響 (Availability Impact): 高 (High)
  • CVSS v2.0 Base Score: 9.3 (NVD)
  • この脆弱性は「高リスク」と評価され、既知の公開されたエクスプロイトが存在し、優先的に対処すべきとされています。 また、CISAの既知の悪用されている脆弱性カタログ(Known Exploited Vulnerabilities Catalog)にも登録されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受けるのは、Adobe Flash Playerバージョン28.0.0.161より前のバージョンです。具体的には以下の製品およびバージョンが影響を受けます。

  • Adobe Flash Player Desktop Runtime 28.0.0.137およびそれ以前のバージョン (Windows, Macintosh, Linux)
  • Google Chrome用Adobe Flash Player 28.0.0.137およびそれ以前のバージョン (Windows, Macintosh, Linux, Chrome OS)
  • Microsoft EdgeおよびInternet Explorer 11用Adobe Flash Player 28.0.0.137およびそれ以前のバージョン (Windows 10, Windows 8.1)

2.2 影響を受ける設定

攻撃は、悪意のあるFlashコンテンツが埋め込まれたMicrosoft Office文書、ウェブページ、またはスパムメールなどをユーザーが開くことによって引き起こされる可能性があります。

3. 影響を受けた時の兆候

  • システム上で任意のコードが実行される。
  • 不正なプロセスが実行される。
  • システムクラッシュやアプリケーションのサービス拒否状態が発生する。
  • 攻撃を受けた韓国の組織では、悪意のあるMicrosoft Word文書に埋め込まれたFlash SWFファイルが使われ、復号鍵が侵害されたサードパーティのウェブサイトからダウンロードされるケースが確認されています。

4. 推奨対策

4.1 本対策

  • Adobe Flash Playerの更新: Adobe Flash Playerをバージョン28.0.0.161以降に更新してください。
    • Google Chrome、Microsoft Edge、Internet Explorer 11に統合されているFlash Playerについても、各ブラウザのアップデートを適用することでFlash Playerが更新されます。
  • Adobe Flash Playerの廃止と削除: Adobe Flash Playerは既に製品サポートが終了(End-of-Life)しているため、現在使用している場合は切断・削除することが推奨されます。

4.2 暫定回避策(緩和策)

恒久的な対策が適用できない場合、以下の暫定的な回避策を検討してください。

  • Adobe Flash Playerのアンインストール: すべてのデバイスからAdobe Flash Playerを完全にアンインストールすることが最も推奨される対策です。
  • Flashの無効化: ブラウザでFlashを無効にしてください。
  • Internet Explorerのセキュリティ設定: Internet Explorerの「インターネットオプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティレベルを「高」に設定してください。
  • 不審なファイルの開封回避: 信頼できないファイル、特にFlashコンテンツが埋め込まれたMicrosoft Office文書は開かないようにしてください。
  • Officeの保護されたビューの活用: ファイルを開く必要がある場合は、Microsoft Officeの「保護されたビュー」で開くことで、影響を回避できる可能性があります。
  • 多層防御の導入: ネットワークセグメンテーション、エンドポイント保護、アクセス制御などの対策を導入し、脆弱性が存在する場合でもリスクの露出を制限します。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る