Adobe Flash Player 安全更新

发布日期:2014 年 8 月 12 日

上次更新日期:2014 年 8 月 20 日

漏洞标识符:APSB14-18

优先级:请参见下表

CVE 编号:CVE-2014-0538、CVE-2014-0540、CVE-2014-0541、CVE-2014-0542、CVE-2014-0543、CVE-2014-0544、CVE-2014-0545、CVE-2014-5333

平台:所有平台

摘要

Adobe 发布了适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.145 及更早版本的安全更新,与此同时,Adobe 还发布了适用于 Linux 的 Adobe Flash Player 11.2.202.394 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用适用于 Internet Explorer 的 Adobe Flash Player Active X 增效工具 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Firefox 的 Adobe Flash Player Windows NPAPI 增效工具 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.179。
  • 使用适用于 Macintosh 的 Adobe Flash Player 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Linux 的 Adobe Flash Player 11.2.202.394 及更早版本的用户应将该软件更新至 Adobe Flash Player 11.2.202.400。
  • 随 Google Chrome 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.177。
  • 随 Internet Explorer 10 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.176。
  • 随 Internet Explorer 11 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Windows 和 Macintosh 的 Adobe AIR 14.0.0.110 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178。
  • 使用 Adobe AIR 14.0.0.137 SDK 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK。
  • 使用 Adobe AIR 14.0.0.137 SDK & Compiler 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK & Compiler。
  • 使用适用于 Android 的 Adobe AIR 14.0.0.137 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.179。

受影响的软件版本

  • 适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.145 及更早版本
  • 适用于 Linux 的 Adobe Flash Player 11.2.202.394 及更早版本
  • 适用于 Windows 和 Macintosh 的 Adobe AIR 14.0.0.110 及更早版本
  • Adobe AIR 14.0.0.137 SDK 及更早版本
  • Adobe AIR 14.0.0.137 SDK & Compiler 及更早版本
  • 适用于 Android 的 Adobe AIR 14.0.0.137 及更早版本

若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页面,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。

若要验证系统上安装的 Adobe AIR 的版本,请按照 Adobe AIR 技术说明中的说明操作。

解决方案

Adobe 建议用户按照以下说明更新他们的软件安装:

  • Adobe 建议使用适用于 Internet Explorer 的 Adobe Flash Player Active X 增效工具 14.0.0.145 版及更早版本的用户应当通过从 Adobe Flash Player 下载中心下载 Adobe Flash Player 14.0.0.176,或者当出现提示时,通过产品中的更新机制更新至 Adobe Flash Player 14.0.0.176。
  • Adobe 建议使用适用于 Firefox 的 Adobe Flash Player Windows NPAPI 增效工具 14.0.0.145 版及更早版本的用户应当通过从 Adobe Flash Player 下载中心下载 Adobe Flash Player 14.0.0.179,或者当出现提示时,通过产品中的更新机制更新至 Adobe Flash Player 14.0.0.179。
  • Adobe 建议使用适用于 Macintosh 的 Adobe Flash Player 14.0.0.145 版及更早版本的用户应当通过从 Adobe Flash Player 下载中心下载 Adobe Flash Player 14.0.0.176,或者当出现提示时,通过产品中的更新机制更新至 Adobe Flash Player 14.0.0.176。
  • Adobe 建议 Linux 版的 Adobe Flash Player 11.2.202.394 及更早版本的用户,通过 Adobe Flash Player 下载中心,下载并更新至 Adobe Flash Player 11.2.202.400。
  • 随 Google Chrome 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.177。
  • 对于使用 Windows 版和 Macintosh 版的 Flash Player 14.0.0.145 及更早版本的用户来说,如果无法更新至 Flash Player 14.0.0.176,则可以使用 Adobe 提供的 Flash Player 13.0.0.241,您可以通过 http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html 下载。
  • 随 Internet Explorer 10 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.176。
  • 随 Internet Explorer 11 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Windows 和 Macintosh 的 Adobe AIR 14.0.0.110 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178。
  • 使用 Adobe AIR 14.0.0.137 SDK 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK。
  • 使用 Adobe AIR 14.0.0.137 SDK & Compiler 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK & Compiler。
  • 使用适用于 Android 的 Adobe AIR 14.0.0.137 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.179。

优先级和严重等级

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级
Adobe Flash Player 14.0.0.176
适用于 Internet Explorer 的 Windows Active X 增效工具
1
  14.0.0.179
适用于 Firefox 的 Windows NPAPI 增效工具
1
  14.0.0.176 Macintosh 1
  14.0.0.176 适用于 Windows 8.0 的 Internet Explorer 10 1
  14.0.0.176
适用于 Windows 8.1 的 Internet Explorer 11 1
  14.0.0.177
适用于 Windows、Macintosh 和 Linux 的 Chrome 1
  11.2.202.400 Linux 3
Adobe AIR 14.0.0.178 Windows 和 Macintosh 3
Adobe AIR 14.0.0.179 Android 3
Adobe AIR SDK & Compiler 14.0.0.178
Windows、Macintosh、Android 和 iOS 3
Adobe AIR SDK 14.0.0.178
Windows、Macintosh、Android 和 iOS
3

这些更新解决了软件中严重等级为关键的漏洞。

详细信息

Adobe 发布了适用于 Windows 和 Macintosh 的 Adobe Flash Player 14.0.0.145 及更早版本的安全更新,与此同时,Adobe 还发布了适用于 Linux 的 Adobe Flash Player 11.2.202.394 及更早版本的安全更新。这些更新修复了可能允许攻击者控制受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用适用于 Internet Explorer 的 Adobe Flash Player Active X 增效工具 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Firefox 的 Adobe Flash Player Windows NPAPI 增效工具 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.179。
  • 使用适用于 Macintosh 的 Adobe Flash Player 14.0.0.145 版及更早版本的用户应将该软件更新至 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Linux 的 Adobe Flash Player 11.2.202.394 及更早版本的用户应将该软件更新至 Adobe Flash Player 11.2.202.400。
  • 随 Google Chrome 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Google Chrome 版本,该版本将包括适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 14.0.0.177。
  • 随 Internet Explorer 10 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 10 版本,其中将包括适用于 Windows 8.0 的 Adobe Flash Player 14.0.0.176。
  • 随 Internet Explorer 11 一起安装的 Adobe Flash Player 14.0.0.145 将自动更新至最新的 Internet Explorer 11 版本,其中将包括适用于 Windows 8.1 的 Adobe Flash Player 14.0.0.176。
  • 使用适用于 Windows 和 Macintosh 的 Adobe AIR 14.0.0.110 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178。
  • 使用 Adobe AIR 14.0.0.137 SDK 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK。
  • 使用 Adobe AIR 14.0.0.137 SDK & Compiler 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.178 SDK & Compiler。
  • 使用适用于 Android 的 Adobe AIR 14.0.0.137 及更早版本的用户应将该软件更新至 Adobe AIR 14.0.0.179。
这些更新解决了多个可用于绕过内存地址随机选择的内存泄漏漏洞(CVE-2014-0540、CVE-2014-0542、CVE-2014-0543、CVE-2014-0544、CVE-2014-0545)。
 
这些更新解决了一个安全绕过漏洞 (CVE-2014-0541)。
 
这些更新修复了可导致代码执行的释放后使用漏洞 (CVE-2014-0538)。
 
这些更新包括新的验证检查,用以处理可绕过 14.0.0.145 版中引入的限制的特制 SWF 内容。14.0.0.176 版的新限制可防止 Flash Player 被用来对 JSONP 端点进行跨站伪造请求攻击(CVE-2014-5333)。
 
受影响的软件   推荐的播放器更新 获取途径
适用于 Internet Explorer 的 Flash Player Active X 增效工具 14.0.0.145 及更早版本
  14.0.0.176 Flash Player 下载中心
适用于 Firefox 的 Flash Player Windows NPAPI 增效工具 14.0.0.145 及更早版本   14.0.0.179 Flash Player 下载中心
Flash Player 14.0.0.145 及更早版本(网络分发)   14.0.0.176
Flash Player 使用许可
适用于 Linux 的 Flash Player 11.2.202.394 及更早版本   11.2.202.400 Flash Player 下载中心
适用于 Chrome 的 Flash Player 14.0.0.145 及更早版本(Windows、Macintosh 和 Linux)   14.0.0.177
Google Chrome 版本
适用于 Windows 8.0 的 Internet Explorer 10 中的 Flash Player 14.0.0.145 及更早版本   14.0.0.176
Microsoft 安全建议
适用于 Windows 8.1 的 Internet Explorer 11 中的 Flash Player 14.0.0.145 及更早版本   14.0.0.176
Microsoft 安全建议
AIR 14.0.0.110 及更早版本   14.0.0.178 AIR 下载中心
AIR 14.0.0.137 SDK & Compiler 及更早版本   14.0.0.178 AIR SDK 下载
AIR 14.0.0.137 SDK 及更早版本   14.0.0.178
AIR SDK 下载
适用于 Android 的 AIR 14.0.0.137 及更早版本   14.0.0.179 Google Play

鸣谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

修订

2014 年 8 月 20 日:添加了 Flash Player 中引入的新验证检查的参考,此验证检查专门设计用于防止针对有漏洞的 JSONP 端点进行跨站伪造请求攻击(CVE-2014-5333)。