发布日期:2015 年 2 月 5 日
上次更新日期:2015 年 2 月 19 日
漏洞标识符:APSB15-04
优先级:请参见下表
CVE 编号:CVE-2015-0313、CVE-2015-0314、CVE-2015-0315、CVE-2015-0316、CVE-2015-0317、CVE-2015-0318、CVE-2015-0319、CVE-2015-0320、CVE-2015-0321、CVE-2015-0322、CVE-2015-0323、CVE-2015-0324、CVE-2015-0325、CVE-2015-0326、CVE-2015-0327、CVE-2015-0328、CVE-2015-0329、CVE-2015-0330、CVE-2015-0331
平台:所有平台
Adobe 已为适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 发布了安全更新。这些更新解决了可能允许攻击者控制受影响系统的漏洞。
Adobe 通过报告了解到,漏洞 CVE-2015-0313 目前正被路过式下载 (drive-by-download) 攻击大肆利用,可攻击运行 Internet Explorer 和 Firefox 的 Windows 8.1 及更低版本的系统。Adobe 建议用户将其安装的产品更新至最新版本:
Adobe Flash Player 桌面运行时的 Windows 和 Macintosh 用户应更新至 Adobe Flash Player 16.0.0.305。
Adobe Flash Player 扩展支持版本的用户应更新至 Adobe Flash Player 13.0.0.269。
Adobe Flash Player 的 Linux 用户应更新至 Adobe Flash Player 11.2.202.442。
随 Google Chrome,以及 Windows 8.x 上的 Internet Explorer 一起安装的 Adobe Flash Player 将自动更新至版本 16.0.0.305。
Adobe Flash Player 16.0.0.296 及更早版本
Adobe Flash Player 13.0.0.264 及更早的 13.x 版本
Adobe Flash Player 11.2.202.440 及更早的 11.x 版本
若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。
Adobe 建议用户按照以下说明更新他们的软件安装:
Adobe 建议 Adobe Flash Player 桌面运行时的 Windows 和 Macintosh 用户应通过访问 Adobe Flash Player 下载中心,更新至 Adobe Flash Player 16.0.0.305,或者在出现提示时,通过产品中的更新机制进行更新。
Adobe 建议 Adobe Flash Player 扩展支持版本的用户应该通过访问 http://helpx.adobe.com/cn/flash-player/kb/archived-flash-player-versions.html,更新至版本 13.0.0.269。
Adobe 建议 Adobe Flash Player 的 Linux 用户应通过访问 Adobe Flash Player 下载中心,更新至 Adobe Flash Player 11.2.202.442。
随 Google Chrome 一起安装的 Adobe Flash Player 将自动更新至最新的 Google Chrome 版本,其中将包括 Adobe Flash Player 16.0.0.305。
随 Windows 8.x 自带 Internet Explorer 一起安装的 Adobe Flash Player 将会自动更新至最新版本,其中将包括 Adobe Flash Player 16.0.0.305。
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
产品 | 受影响的版本 | 平台 | 优先级 |
---|---|---|---|
Adobe Flash Player 桌面运行时 | 16.0.0.296 及更早版本 |
Windows 和 Macintosh |
1 |
Adobe Flash Player 扩展支持版本 | 13.0.0.264 及更早版本 | Windows 和 Macintosh |
1 |
适用于 Google Chrome 的 Adobe Flash Player | 16.0.0.296 及更早版本 | Windows、Macintosh 和 Linux |
1 |
适用于 Internet Explorer 10 和 Internet Explorer 11 的 Adobe Flash Player | 16.0.0.296 及更早版本 | Windows 8.0 和 8.1 | 1 |
Adobe Flash Player | 11.2.202.440 及更早版本 | Linux | 3 |
这些更新解决了软件中严重等级为关键的漏洞。
Adobe 已为适用于 Windows、Macintosh 和 Linux 的 Adobe Flash Player 发布了安全更新。这些更新解决了可能允许攻击者控制受影响系统的漏洞。
Adobe 通过报告了解到,漏洞 CVE-2015-0313 目前正被路过式下载 (drive-by-download) 攻击大肆利用,可攻击运行 Internet Explorer 和 Firefox 的 Windows 8.1 及更低版本的系统。Adobe 建议用户将其安装的产品更新至最新版本:
Adobe Flash Player 桌面运行时的 Windows 和 Macintosh 用户应更新至 Adobe Flash Player 16.0.0.305。
Adobe Flash Player 扩展支持版本的用户应更新至 Adobe Flash Player 13.0.0.269。
Adobe Flash Player 的 Linux 用户应更新至 Adobe Flash Player 11.2.202.442。
随 Google Chrome,以及 Windows 8.x 上的 Internet Explorer 一起安装的 Adobe Flash Player 将自动更新至版本 16.0.0.305。
这些更新解决了若干可导致代码执行的释放后使用 (use-after-free) 漏洞(CVE-2015-0313、CVE-2015-0315、CVE-2015-0320、CVE-2015-0322、CVE-2015-0331)。
这些更新解决了若干可导致代码执行的内存破坏漏洞(CVE-2015-0314、CVE-2015-0316、CVE-2015-0318、CVE-2015-0321、CVE-2015-0329、CVE-2015-0330)。
这些更新解决了若干可导致代码执行的类型混淆漏洞(CVE-2015-0317、CVE-2015-0319)。
这些更新解决了若干可导致代码执行的堆缓冲区溢出漏洞(CVE-2015-0323、CVE-2015-0327)。
这些更新解决了可导致代码执行的缓冲区溢出漏洞 (CVE-2015-0324)。
这些更新解决了空指针取消引用问题(CVE-2015-0325、CVE-2015-0326、CVE-2015-0328)。
受影响的软件 | 推荐的播放器更新 | 获取途径 | |
---|---|---|---|
Flash Player 桌面运行时 |
16.0.0.305 | ||
Flash Player 扩展支持版本 | 13.0.0.269 | 扩展支持 | |
适用于 Linux 的 Flash Player | 11.2.202.442 | Flash Player 下载中心 | |
适用于 Google Chrome 的 Flash Player | 16.0.0.305 | Google Chrome 版本 | |
适用于 Internet Explorer 10 和 Internet Explorer 11 的 Flash Player | 16.0.0.305 |
Microsoft 安全建议 |
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
来自 Microsoft 的 Elia Florio 和 Dave Weston,以及来自趋势科技的 Peter Pi (CVE-2015-0313)
参与 HP Zero Day Initiative 的 Bilou(CVE-2015-0314、CVE-2015-0331)
参与 Chromium 漏洞奖励计划的 Bilou(CVE-2015-0315、CVE-2015-0320)
来自谷歌的 Robert Święcki (CVE-2015-0316)
来自谷歌“Project Zero”团队的 Mark Brand,以及与 谷歌“Project Zero”团队合作的 Natalie Silvanovich(CVE-2015-0317、CVE-2015-0318)
来自谷歌“Project Zero”团队的 Mark Brand(CVE-2015-0323、CVE-2015-0329)
与谷歌“Project Zero”团队合作的 Natalie Silvanovich (CVE-2015-0319)
参与 Chromium 漏洞奖励计划的匿名人士 (CVE-2015-0321)
来自 KeenTeam (@K33nTeam) 并参与 Chromium 漏洞奖励计划的 Jihui Lu (CVE-2015-0322)
来自谷歌“Project Zero”团队的 Ian Beer(CVE-2015-0324、CVE-2015-0327)
来自启明星辰积极防御实验室 (ADLAB) 的 Wen Guanxing (CVE-2015-0330)