Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
タイトル Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
概要

Adobe Flash には、ActionScript newfunction 命令の処理に脆弱性が存在します。 Adobe Flash 9 およびそれ以降では ActionScript 3 をサポートしており、そのバイトコードは ActionScript Virtual Machine 2 (AVM2) によって実行されます。細工された AVM2 newfunction 命令によって、任意のコードが実行される可能性があります。 なお、本脆弱性を使用した攻撃活動が確認されています。

想定される影響 SWF コンテンツを埋め込んだ細工されたファイルを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする] Adobe が提供する情報をもとに Flash Player、Adobe AIR、Adobe Reader および Acrobat を最新版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * ウェブブラウザで Flash を無効にする * Adobe Reader 9 で Flash と 3D & Multimedia サポートを無効にする * ウェブブラウザ上での PDF ファイルの自動表示を無効にする  PDF の自動表示を無効にする設定方法は、ウェブブラウザにより異なります。 * Adobe Reader および Acrobat で JavaScript を無効にする * 不審な PDF ファイルを開かない  不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

公表日 2010年6月8日0:00
登録日 2010年6月17日18:56
最終更新日 2024年7月4日15:55
CVSS3.0 : 重要
スコア 7.8
ベクター CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
スコア 9.3
ベクター AV:N/AC:M/Au:N/C:C/I:C/A:C
影響を受けるシステム
レッドハット
Red Hat Enterprise Linux Extras 3 extras
Red Hat Enterprise Linux Extras 4 extras
Red Hat Enterprise Linux Extras 4.8.z extras
RHEL Desktop Supplementary 5 (client)
RHEL Supplementary 5 (server)
RHEL Supplementary EUS 5.4.z (server)
オラクル
OpenSolaris 
Oracle Solaris 10
アップル
Apple Mac OS X v10.5.8
Apple Mac OS X v10.6 から v10.6.4
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6 から v10.6.4
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2010年06月17日]
  掲載
[2010年07月15日]
  対策:対策の情報を更新
  ベンダ情報:アドビシステムズ (APSB10-15) を追加
  ベンダ情報:レッドハット (RHSA-2010:0503) を追加
[2010年10月05日]
  影響を受けるシステム:オラクル (cve_2010_1297_arbitrary_code) の情報を追加
  ベンダ情報:オラクル (cve_2010_1297_arbitrary_code) を追加
[2010年11月26日]
  影響を受けるシステム:アップル (HT4435) の情報を追加
  ベンダ情報:アップル (HT4435) を追加
2018年2月17日10:37
1 [2024年07月04日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:内容を更新
  参考情報:CISA Known Exploited Vulnerabilities Catalog (CVE-2010-1297) を追加
2024年7月4日15:52

NVD脆弱性情報
CVE-2010-1297
概要

Adobe Flash Player before 9.0.277.0 and 10.x before 10.1.53.64; Adobe AIR before 2.0.2.12610; and Adobe Reader and Acrobat 9.x before 9.3.3, and 8.x before 8.2.3 on Windows and Mac OS X, allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted SWF content, related to authplay.dll and the ActionScript Virtual Machine 2 (AVM2) newfunction instruction, as exploited in the wild in June 2010.

概要

Vulnerabilidad sin especificar en Adobe Flash Player v9.0.x a v9.0.262 y v10.x a v10.0.45.2, y authplay.dl en Adobe Reader y Acrobat v9.x a 9.3.2, permite a atacantes remotos ejecutar código a su elección a través de contenido SWF manipulado, se explota activamente desde Junio de 2010.

公表日 2010年6月9日3:30
登録日 2021年1月29日10:59
最終更新日 2026年4月22日6:12
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:* 2.0.2.12610
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 9.0.277.0
cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:* 10.0 10.1.53.64
cpe:2.3:a:adobe:acrobat:*:*:*:*:*:*:*:* 8.0 8.2.3
cpe:2.3:a:adobe:acrobat:*:*:*:*:*:*:*:* 9.0 9.3.3
cpe:2.3:o:opensuse:opensuse:*:*:*:*:*:*:*:* 11.0 11.2
cpe:2.3:o:suse:linux_enterprise:10.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise:11.0:-:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise:11.0:sp1:*:*:*:*:*:*
構成2 以上 以下 より上 未満
関連情報、対策とツール
共通脆弱性一覧