发布日期:2014 年 8 月 7 日
漏洞标识符:APSB14-17
优先级:请参见下表
CVE 编号:CVE-2014-0537、 CVE-2014-0539、CVE-2014-4671
平台:所有平台
Adobe 已发布适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.125 及更早版本和适用于 Linux 的 Adobe Flash Player 11.2.202.378 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:
- 适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.125 及更早版本的用户应更新至 Adobe Flash Player 14.0.0.145。
- 适用于 Linux 的 Adobe Flash Player 11.2.202.378 及更早版本的用户应更新至 Adobe Flash Player 11.2.202.394。
- 随 Google Chrome 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.145。
- 随 Internet Explorer 10 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.145。
- 随 Internet Explorer 11 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.145。
- Adobe AIR 14.0.0.110 SDK 及更早版本的用户应更新至 Adobe AIR 14.0.0.137 SDK。
- Adobe AIR 14.0.0.110 SDK & Compiler 及更早版本的用户应更新至 Adobe AIR 14.0.0.137 SDK & Compiler。
- 适用于 Android 的 Adobe AIR 14.0.0.110 及更早版本的用户应更新至 Adobe AIR 14.0.0.137。
- 适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.125 及早期版本
- 适用于 Linux 的 Adobe Flash Player 11.2.202.378 及早期版本
- Adobe AIR 14.0.0.110 SDK 及更早版本
- Adobe AIR 14.0.0.110 SDK & Compiler 及更早版本
- 适用于 Android 的 Adobe AIR 14.0.0.110 及更早版本
若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页面,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。
若要验证系统上安装的 Adobe AIR 的版本,请按照 Adobe AIR 技术说明中的说明操作。
Adobe 建议用户按照以下说明更新其软件安装:
- Adobe 建议那些使用 Windows 版和 Macintosh 版 Adobe Flash Player 14.0.0.125 及更早版本的用户,通过 Adobe Flash Player 下载中心下载并更新至最新版本 14.0.0.145;或者通过产品中的更新机制,在出现提示后更新至该版本。
- Adobe 建议 Linux 版的 Adobe Flash Player 11.2.202.378 及更早版本的用户,通过 Adobe Flash Player 下载中心,下载并更新至 Adobe Flash Player 11.2.202.394。
- 随 Google Chrome 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.145。
- 对于使用 Windows 版和 Macintosh 版的 Flash Player 14.0.0.125 及更早版本的用户来说,如果无法更新至 Flash Player 14.0.0.145,则可以使用 Adobe 提供的 Flash Player 13.0.0.231,您可以通过 http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html 下载。
- 随 Internet Explorer 10 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.145。
- 随 Internet Explorer 11 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.145。
- Adobe AIR 14.0.0.110 SDK 的用户应更新至 Adobe AIR 14.0.0.137 SDK。
- Adobe AIR 14.0.0.110 SDK & Compiler 及更早版本的用户应更新至 Adobe AIR 14.0.0.137 SDK & Compiler。
- 适用于 Android 的 Adobe AIR 14.0.0.110 及更早版本的用户应更新至 Adobe AIR 14.0.0.137。
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
| 产品 | 更新后的版本 | 平台 | 优先级 |
|---|---|---|---|
| Adobe Flash Player | 14.0.0.145 |
Windows 和 Macintosh |
1 |
| 14.0.0.145 |
适用于 Windows 8.0 的 Internet Explorer 10 | 1 | |
| 14.0.0.145 |
适用于 Windows 8.1 的 Internet Explorer 11 | 1 | |
| 14.0.0.145 |
适用于 Windows、Macintosh 和 Linux 的 Chrome | 1 | |
| 11.2.202.394 | Linux | 3 | |
| Adobe AIR | 14.0.0.137 | Android | 3 |
| Adobe AIR SDK & Compiler | 14.0.0.137 |
Windows、Macintosh、Android 和 iOS | 3 |
| Adobe AIR SDK | 14.0.0.137 |
Windows、Macintosh、Android 和 iOS |
3 |
这些更新解决了软件中严重等级为关键的漏洞。
Adobe 已发布适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.125 及更早版本和适用于 Linux 的 Adobe Flash Player 11.2.202.378 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:
- 适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.125 及更早版本的用户应更新至 Adobe Flash Player 14.0.0.145。
- 适用于 Linux 的 Adobe Flash Player 11.2.202.378 及更早版本的用户应更新至 Adobe Flash Player 11.2.202.394。
- 随 Google Chrome 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.145。
- 随 Internet Explorer 10 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.145。
- 随 Internet Explorer 11 安装的 Adobe Flash Player 14.0.0.125 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.145。
- Adobe AIR 14.0.0.110 SDK 及更早版本的用户应更新至 Adobe AIR 14.0.0.137 SDK。
- Adobe AIR 14.0.0.110 SDK & Compiler 及更早版本的用户应更新至 Adobe AIR 14.0.0.137 SDK & Compiler。
- 适用于 Android 的 Adobe AIR 14.0.0.110 及更早版本的用户应更新至 Adobe AIR 14.0.0.137。
这些更新包含额外的验证检查,可确保 Flash Player 拒绝来自易受攻击的 JSONP 回调 API 的恶意内容 (CVE-2014-4671)。
这些更新解决了安全旁路漏洞(CVE-2014-0537、CVE-2014-0539)。
| 受影响的软件 | 推荐的播放器更新 | 获取途径 | |
|---|---|---|---|
| 适用于 Windows 和 Macintosh 的 Flash Player 14.0.0.125 及早期版本 | 14.0.0.145 | Flash Player 下载中心 | |
| Flash Player 14.0.0.125 及更早版本(网络分发) | 14.0.0.145 |
Flash Player 使用许可 | |
| 适用于 Linux 的 Flash Player 11.2.202.378 及更早版本 | 11.2.202.394 | Flash Player 下载中心 | |
| 适用于 Chrome 的 Flash Player 14.0.0.125 及更早版本(Windows、Macintosh 和 Linux) | 14.0.0.145 |
Google Chrome 版本 | |
| Internet Explorer 10 for Windows 8.0 中的 Flash Player 14.0.0.125 及更早版本 | 14.0.0.145 |
Microsoft 安全建议 | |
| Internet Explorer 11 for Windows 8.1 中的 Flash Player 14.0.0.125 及更早版本 | 14.0.0.145 |
Microsoft 安全建议 | |
| AIR 14.0.0.110 SDK & Compiler 及更早版本 | 14.0.0.137 | AIR SDK 下载 | |
| AIR 14.0.0.110 SDK 及更早版本 | 14.0.0.137 |
AIR SDK 下载 | |
| 适用于 Android 的 AIR 14.0.0.110 及更早版本 | 14.0.0.137 | Google Play |
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- Michele Spagnuolo (CVE-2014-4671)
- Masato Kinugawa (CVE-2014-0537, CVE-2014-0539)