TechNote

リリース日： 2010年6月4日

最終更新日：2010年6月10日

脆弱性識別番号： APSA10-01

CVE番号： CVE-2010-1297

プラットフォーム：全プラットフォーム

概要

Windows、Macintosh、LinuxおよびSolarisオペレーティングシステム用のAdobe Flash Player 10.0.45.2とそれ以前のバージョンと、Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat 9.xに付属するauthplay.dllコンポーネントに、クリティカルな脆弱性が存在することが確認されています。この脆弱性（CVE-2010-1297）が原因でクラッシュが発生したり、場合によって は、攻撃者が対象システムを制御できるようになるおそれがあります。現在、この脆弱性に関しては、Adobe Flash PlayerとAdobe ReaderとAcrobatの双方を攻撃対象とした限定的な悪用事例が、一部で存在することが確認されています。

アドビでは対象のセキュリティの問題を解決するAdobe Flash Playerのアップデートを公開しました。詳細については、TechNote cpsid_85036 を参照ください。

アドビでは、上記のセキュリティ関連の問題点を解消するために、Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat 9.3.2のアップデータは、2010年6月29日 (US時間) に提供を予定しています。AcrobatとReaderのアップデートは、当初2010年7月13日に予定されていた、時期の四半期セキュリティアップデートを早めたものであることにご注意ください。スケジュールが早まったことにより、Adobe Reader と Acrobat は、2010年7月13日には別の新しいアップデートは予定されていません。

影響を受けるソフトウェアとバージョン

Windows、Macintosh、LinuxおよびSolarisオペレーティングシステム用のAdobe Flash Player 10.0.45.2、9.0.262およびこれら以前のバージョン9.x、10.x
Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat 9.3.2およびそれ以前のバージョン9.x

注意：Adobe ReaderいよびAcrobat 8.x は脆弱性が確認されておりません。

軽減策

Adobe Flash Player

アドビでは対象のセキュリティの問題を解決するAdobe Flash Playerのアップデートを公開しました。詳細については、TechNote cpsid_85036 を参照ください。

Adobe ReaderおよびAcrobat - Windows

Adobe ReaderおよびAcrobat 9.xと共に出荷されるauthplay.dllファイルを削除、変名、もしくはアクセスさせぬよう移動することで、それらの製品に対する脅威は軽減されます。しかし、ユーザーSWFコンテンツの含まれたPDFファイルを開くとき、悪用されないものの強制終了したりエラーメッセージが表示されます。

authplay.dllはAdobe ReaderおよびAcrobat 9.xと共に出荷され、Windowsだと一般的にAdobe Reader用には C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll 、もしくはAcrobat用には C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dllに存在します。

Adobe Reader 9.x - Macintosh

1. [アプリリケーション]-[Adobe Reader 9] フォルダへと進みます。
2. Adobe Reader を右クリック(CTRLクリック) します。
3. [パッケージの内容を表示] を選択しす。
4. [Contents]-[Frameworks] フォルダへと進みます。
5. AuthPlayLib.bundle ファイルを削除するか移動します。

Acrobat Pro 9.x - Macintosh

1. [アプリリケーション]-[Adobe Acrobat 9 Pro] フォルダへと進みます。
2. Adobe Acrobat Pro を右クリック(CTRLクリック) します。
3. [パッケージの内容を表示] を選択しす。
4. [Contents]-[Frameworks] フォルダへと進みます。
5. AuthPlayLib.bundle ファイルを削除するか移動します。

Adobe Reader 9.x - UNIX

1. Readerがインストールされている場所を開きます。(一般的に Adobe という名前のフォルダです。)
2. そこで、Reader9/Reader/intellinux/lib/ (Linux用) か Reader9/Reader/intelsolaris/lib/ (Solaris用) を参照します。
3. "libauthplay.so.0.0.0"という名前のライブラリを削除します。

緊急度

アドビは、この案件をクリティカルなアップデートと分類しています。

関連情報 

• Security Advisory for Flash Player, Adobe Reader and Acrobat  (APSA10-01)*

更新履歴

2010年6月10日 - Adobe Flash Playerのセキュリティの問題を解決するTechNote cpsid_85036へのリンクを追加しました。 Adobe Flash Playerのアップデートを公開しました。

2010年6月8日 - 当初2010年7月13日に予定されていたAdobe Reader と Acrobatの次期四半期セキュリティリリースアップデートについての情報を追加

2010年6月7日 - アップデートの公開日に関する情報と、軽減策にMacintoshとUNIXの手順を追加

2010年6月4日 - 初出