Adobe Flash Player の NetConnection クラスにおけるデータ型の検証不備により任意のコードが実行される脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

Adobe Flash Player の NetConnection クラスにおけるデータ型の検証不備により任意のコードが実行される脆弱性(Scan Tech Report)

Adobe Systems 社の Adobe Flash Player に、任意のコードが実行される脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
1.概要
Adobe Systems 社の Adobe Flash Player に、任意のコードが実行される脆弱性が報告されています。当該脆弱性を利用されることにより、システム上で利用者が意図しない不正な行為を実行されてしまう可能性があります。


2.深刻度(CVSS)
9.3
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-0336&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)


3.影響を受けるソフトウェア※1
以下のバージョンの Adobe Flash Player が当該脆弱性の影響を受けます。

- Adobe Flash Player 16.0.0.305 とそれ以前のバージョン
- Adobe Flash Player 13.0.0.269 とそれ以前の 13.x バージョン
- Adobe Flash Player 11.2.202.442 とそれ以前の 11.x バージョン


4.解説
Adobe Flash Player は、Adobe Systems 社が開発している動画を再生するためのソフトウェアです。
当該脆弱性に対して脆弱な Adobe Flash Player では、NetConnection クラスでの型の取り扱いに不備があります。NetConnection クラスでは、Flash アプリケーション間での接続の管理を行っています。

ActionScript における NetConnection クラスの不備のため、検証される値の型のチェックが行われず、渡される値の検証を回避することが可能となります。

このため、攻撃者は NetConnection クラスが本来アクセス可能なオブジェクト以外へのメモリアクセスの誘導が可能となります。攻撃者は細工したswfファイルを用意し、それを読み込ませて処理をさせることで、任意のコード実行が可能となります。

本記事で取り上げるエクスプロイトコードでは、当該脆弱性を利用することで対象ホストに、Adobe Flash Player を実行しているユーザの権限で侵入することを試みます。

なお、本脆弱性 (CVE-2015-0336) の影響を受ける Adobe Flash Player では、この他にも重大な複数の脆弱性が報告されております。脆弱性に対応するためにも、ソフトウェアのバージョンを最新に保つことを推奨します。


5.対策
Adobe Systems 社の公式ページから最新版にアップデートすることで、脆弱性に対処できます。

https://get2.adobe.com/jp/flashplayer/


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《株式会社ラック デジタルペンテスト部》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

ランキングをもっと見る
PageTop