製品・ソフトウェアに関する情報
Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
Title Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
Summary

Adobe Flash には、ActionScript newfunction 命令の処理に脆弱性が存在します。 Adobe Flash 9 およびそれ以降では ActionScript 3 をサポートしており、そのバイトコードは ActionScript Virtual Machine 2 (AVM2) によって実行されます。細工された AVM2 newfunction 命令によって、任意のコードが実行される可能性があります。 なお、本脆弱性を使用した攻撃活動が確認されています。

Possible impacts SWF コンテンツを埋め込んだ細工されたファイルを閲覧することで、任意のコードを実行される可能性があります。
Solution

[アップデートする] Adobe が提供する情報をもとに Flash Player、Adobe AIR、Adobe Reader および Acrobat を最新版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * ウェブブラウザで Flash を無効にする * Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする * ウェブブラウザ上での PDF ファイルの自動表示を無効にする  PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。 * Adobe Reader および Acrobat で JavaScript を無効にする * 不審な PDF ファイルを開かない  不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

Publication Date June 8, 2010, midnight
Registration Date June 17, 2010, 6:56 p.m.
Last Update July 4, 2024, 3:55 p.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
Affected System
レッドハット
Red Hat Enterprise Linux Extras 3 extras
Red Hat Enterprise Linux Extras 4 extras
Red Hat Enterprise Linux Extras 4.8.z extras
RHEL Desktop Supplementary 5 (client)
RHEL Supplementary 5 (server)
RHEL Supplementary EUS 5.4.z (server)
オラクル
OpenSolaris 
Oracle Solaris 10
アップル
Apple Mac OS X v10.5.8
Apple Mac OS X v10.6 から v10.6.4
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6 から v10.6.4
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年06月17日]
  掲載
[2010年07月15日]
  対策:対策の情報を更新
  ベンダ情報:アドビシステムズ (APSB10-15) を追加
  ベンダ情報:レッドハット (RHSA-2010:0503) を追加
[2010年10月05日]
  影響を受けるシステム:オラクル (cve_2010_1297_arbitrary_code) の情報を追加
  ベンダ情報:オラクル (cve_2010_1297_arbitrary_code) を追加
[2010年11月26日]
  影響を受けるシステム:アップル (HT4435) の情報を追加
  ベンダ情報:アップル (HT4435) を追加
Feb. 17, 2018, 10:37 a.m.
1 [2024年07月04日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:内容を更新
  参考情報:CISA Known Exploited Vulnerabilities Catalog (CVE-2010-1297) を追加
July 4, 2024, 3:52 p.m.

NVD Vulnerability Information
CVE-2010-1297
Summary

Adobe Flash Player before 9.0.277.0 and 10.x before 10.1.53.64; Adobe AIR before 2.0.2.12610; and Adobe Reader and Acrobat 9.x before 9.3.3, and 8.x before 8.2.3 on Windows and Mac OS X, allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted SWF content, related to authplay.dll and the ActionScript Virtual Machine 2 (AVM2) newfunction instruction, as exploited in the wild in June 2010.

Summary

Vulnerabilidad sin especificar en Adobe Flash Player v9.0.x a v9.0.262 y v10.x a v10.0.45.2, y authplay.dl en Adobe Reader y Acrobat v9.x a 9.3.2, permite a atacantes remotos ejecutar código a su elección a través de contenido SWF manipulado, se explota activamente desde Junio de 2010.

Publication Date June 9, 2010, 3:30 a.m.
Registration Date Jan. 29, 2021, 10:59 a.m.
Last Update April 22, 2026, 6:12 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:* 2.0.2.12610
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 9.0.277.0
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 10.0 10.1.53.64
cpe:2.3:a:adobe:acrobat:*:*:*:*:*:*:*:* 8.0 8.2.3
cpe:2.3:a:adobe:acrobat:*:*:*:*:*:*:*:* 9.0 9.3.3
cpe:2.3:o:opensuse:opensuse:*:*:*:*:*:*:*:* 11.0 11.2
cpe:2.3:o:suse:linux_enterprise:10.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise:11.0:-:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise:11.0:sp1:*:*:*:*:*:*
Configuration2 or higher or less more than less than
Related information, measures and tools
Common Vulnerabilities List