Adobe Flash Player 安全更新

发布日期:2014 年 1 月 14 日

漏洞标识符:APSB14-02

优先级:请参见下表

CVE 编号:CVE-2014-0491、CVE-2014-0492

平台:所有平台

摘要

Adobe 已发布适用于 Windows 和 Macintosh 的 Adobe Flash Player 11.9.900.170 及更早版本和适用于 Linux 的 Adobe Flash Player 11.2.202.332 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:

  • 适用于 Windows Internet Explorer 的 Adobe Flash Player 11.9.900.170 及更早版本的用户,应更新至 Adobe Flash Player 12.0.0.38。
  • 适用于 Windows 上基于 NPAPI 插件的浏览器的 Adobe Flash Player 11.9.900.170 及更早版本用户,应更新至 Adobe Flash Player 12.0.0.43
  • 适用于 Macintosh 的 Adobe Flash Player 11.9.900.170 及更早版本的用户,应更新至 Adobe Flash Player 12.0.0.38。
  • 适用于 Linux 的 Adobe Flash Player 11.2.202.332 及更早版本的用户应更新至 Adobe Flash Player 11.2.202.335。
  • 随 Google Chrome 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 12.0.0.41。
  • 随 Internet Explorer 10 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 12.0.0.38。
  • 随 Internet Explorer 11 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 12.0.0.38。
  • 适用于 Windows 和 Macintosh 的 Adobe AIR 3.9.0.1380 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390。
  • 适用于 Android 的 Adobe AIR 3.9.0.1380 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390。
  • Adobe AIR 3.9.0.1380 SDK 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390 SDK。
  • Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390 SDK & Compiler。

受影响的软件版本

  • 适用于 Windows 和 Macintosh 的 Adobe Flash Player 11.9.900.170 及更早版本
  • 适用于 Linux 的 Adobe Flash Player 11.2.202.332 及更早版本
  • 适用于 Windows 和 Macintosh 的 Adobe AIR 3.9.0.1380 及更早版本
  • 适用于 Android 的 Adobe AIR 3.9.0.1380 及更早版本
  • Adobe AIR 3.9.0.1380 SDK 及更早版本
  • Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本

若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页面,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。

要验证 Android 的 Adobe Flash Player 版本,请转到“设置”>“应用程序”>“管理应用程序”> Adobe Flash Player x.x。

若要验证系统上安装的 Adobe AIR 的版本,请按照 Adobe AIR 技术说明中的说明操作。

解决方案

Adobe 建议用户按照以下说明更新他们的软件安装:

  • Adobe 建议那些使用适合 Windows Internet Explorer 的 Adobe Flash Player 11.9.900.170 及更早版本的用户,通过 Adobe Flash Player 下载中心,下载并更新至最新版本 12.0.0.38;或者通过产品中的更新机制,在出现提示后更新至该版本。
  • Adobe 建议 Macintosh 版的 Adobe Flash Player 11.9.900.170 及更早版本的用户,通过 Adobe Flash Player 下载中心,下载并更新至最新版本 12.0.0.38;或者通过产品中的更新机制,在出现提示后更新至该版本。
  • Adobe 建议,适用于 Windows 上基于 NPAPI 插件的浏览器的 Adobe Flash Player 11.9.900.170 及更早版本用户,可以从 Adobe Flash Player 下载中心下载并更新至最新版本 12.0.0.43,或通过产品中的更新机制在出现提示后更新至该版本。
  • Adobe 建议 Linux 版的 Adobe Flash Player 11.2.202.332 及更早版本的用户,通过 Adobe Flash Player 下载中心,下载并更新至 Adobe Flash Player 11.2.202.335。
  • 适用于 Windows 和 Macintosh 的 Flash Player 11.7.700.257 及更早版本的用户无法更新至 Flash Player 12.0.0.38,Adobe 为这些用户提供了 Flash Player 11.7.700.260 更新,可从此处下载。
  • 随 Google Chrome 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 12.0.0.41。
  • 随 Internet Explorer 10 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 12.0.0.38。
  • 随 Internet Explorer 11 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 12.0.0.38。
  • 使用 Windows 版和 Macintosh 版的 Adobe AIR 3.9.0.1380 及更早版本的用户,可通过 Adobe AIR 下载中心,下载并更新至 Adobe AIR 4.0.0.1390。
  • Adobe AIR 3.9.0.1380 SDK 的用户可以从 Adobe AIR SDK 下载中心下载并更新至 Adobe AIR 4.0.0.1390 SDK。
  • Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本的用户可以从 Adobe AIR SDK 下载中心下载并更新至 Adobe AIR 4.0.0.1390 SDK & Compiler。
  • 适用于 Android 的 Adobe AIR 3.9.0.1380 及更早版本的用户可以通过 Android 设备浏览至 Google play 从而更新至 Adobe AIR 4.0.0.1390。

优先级和严重等级

Adobe 按照以下优先级将此更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级
Adobe Flash Player 12.0.0.38
Windows (Internet Explorer)
1
  12.0.0.38
Macintosh 1
  12.0.0.41 Windows、Macintosh 和 Linux (Chrome) 1
  12.0.0.43 Windows 上基于 NPAPI 插件的浏览器 1
  11.7.700.260 Windows 和 Macintosh 1
  11.2.202.335 Linux 3
Adobe AIR 4.0.0.1390 Windows、Macintosh、Android、SDK 和 SDK & Compiler 3

这些更新解决了软件中严重等级为关键的漏洞。

详细信息

Adobe 已发布适用于 Windows 和 Macintosh 的 Adobe Flash Player 11.9.900.170 及更早版本和适用于 Linux 的 Adobe Flash Player 11.2.202.332 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。

Adobe 建议用户将其安装的产品更新至最新版本:

  • 适用于 Windows Internet Explorer 的 Adobe Flash Player 11.9.900.170 及更早版本的用户,应更新至 Adobe Flash Player 12.0.0.38。
  • 适用于 Windows 上基于 NPAPI 插件的浏览器的 Adobe Flash Player 11.9.900.170 及更早版本用户,应更新至 Adobe Flash Player 12.0.0.43
  • 适用于 Macintosh 的 Adobe Flash Player 11.9.900.170 及更早版本的用户,应更新至 Adobe Flash Player 12.0.0.38。
  • 适用于 Linux 的 Adobe Flash Player 11.2.202.332 及更早版本的用户应更新至 Adobe Flash Player 11.2.202.335。
  • 随 Google Chrome 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 12.0.0.41。
  • 随 Internet Explorer 10 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 12.0.0.38。
  • 随 Internet Explorer 11 安装的 Adobe Flash Player 11.9.900.170 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 12.0.0.38。
  • 适用于 Windows 和 Macintosh 的 Adobe AIR 3.9.0.1380 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390。
  • 适用于 Android 的 Adobe AIR 3.9.0.1380 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390。
  • Adobe AIR 3.9.0.1380 SDK 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390 SDK。
  • Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本的用户应更新至 Adobe AIR 4.0.0.1390 SDK & Compiler。

这些更新修复了可用于跳过 Flash Player 安全保护的漏洞 (CVE-2014-0491)。

这些更新修复了不受内存地址布局随机化限制的地址泄露漏洞 (CVE-2014-0492)。

受影响的软件 推荐的播放器更新 获取途径
适用于 Windows (Internet Explorer) 的 Flash Player 11.9.900.170 及更早版本 12.0.0.38 Flash Player 下载中心
适用于 Macintosh 的 Flash Player 11.9.900.170 及更早期版本 12.0.0.38 Flash Player 下载中心
Flash Player 11.9.900.170 及更早版本(网络分发) 12.0.0.38 Flash Player 使用许可
适用于 Windows 上基于 NPAPI 插件的浏览器的 Flash Player 11.9.900.170 及更早版本 12.0.0.43 Flash Player 下载中心
适用于 Linux 的 Flash Player 11.2.202.332 及更早版本 11.2.202.335 Flash Player 下载中心
适用于 Windows、Macintosh 和 Linux (Chrome) 的 Flash Player 11.9.900.170 及更早版本 12.0.0.41
Google Chrome 版本
Internet Explorer 10 for Windows 8.0 中的 Flash Player 11.9.900.170 及更早版本 12.0.0.38
Microsoft 安全建议
Internet Explorer 11 for Windows 8.1 中的 Flash Player 11.9.900.170 及更早版本 12.0.0.38
Microsoft 安全建议
适用于 Windows 和 Macintosh 的 AIR 3.9.0.1380 及更早版本 4.0.0.1390
AIR 下载中心
AIR 3.9.0.1380 SDK 4.0.0.1390
AIR SDK 下载
AIR 3.9.0.1380 SDK & Compiler 4.0.0.1390
AIR SDK 下载
适用于 Android 的 AIR 3.9.0.1380 及更早版本 4.0.0.1390
Google Play

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:

  • Masato Kinugawa (CVE-2014-0491)
  • 通过 Zero Day Initiative 匿名报告 (CVE-2014-0492)