Adobe Flash Player 安全更新

发布日期:2015 年 7 月 8 日

上次更新日期:2015 年 7 月 17 日

漏洞标识符:APSB15-16

优先级:请参见下表

CVE 编号:CVE-2014-0578、CVE-2015-3097、CVE-2015-3114、CVE-2015-3115、CVE-2015-3116、CVE-2015-3117、CVE-2015-3118、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-3123、CVE-2015-3124、CVE-2015-3125、CVE-2015-3126、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3130、CVE-2015-3131、CVE-2015-3132、CVE-2015-3133、CVE-2015-3134、CVE-2015-3135、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4429、CVE-2015-4430、CVE-2015-4431、CVE-2015-4432、CVE-2015-4433、CVE-2015-5116、CVE-2015-5117、CVE-2015-5118、CVE-2015-5119、CVE-2015-5124

平台:所有平台

摘要

Adobe 已经为 Adobe Flash Player 的 Windows、Macintosh 和 Linux 版本发布了安全更新。这些更新解决了可能潜在允许攻击者控制受影响系统且严重等级为关键的漏洞。Adobe 从报告中了解到,一个为了利用漏洞 CVE-2015-5119 而编写的攻击程序已经公开发布。

受影响的版本

产品 受影响的版本 平台
Adobe Flash Player 桌面运行时 18.0.0.194 及更早版本
Windows 和 Macintosh
Adobe Flash Player 扩展支持版本 13.0.0.296 及更早版本 Windows 和 Macintosh
适用于 Google Chrome 的 Adobe Flash Player 18.0.0.194 及更早版本 Windows、Macintosh 和 Linux
适用于 Internet Explorer 10 和 Internet Explorer 11 的 Adobe Flash Player 18.0.0.194 及更早版本 Windows 8.0 和 8.1
Adobe Flash Player 11.2.202.468 及更早版本 Linux
AIR 桌面运行时 18.0.0.144 及更早版本 Windows 和 Macintosh
AIR SDK 18.0.0.144 及更早版本 Windows、Macintosh、Android 和 iOS
AIR SDK & Compiler 18.0.0.144 及更早版本 Windows、Macintosh、Android 和 iOS
  • 若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页面,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。
  • 若要验证系统上安装的 Adobe AIR 的版本,请按照 Adobe AIR 技术说明中的说明操作。

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新版本 平台 优先级
获取途径
Flash Player 桌面运行时
18.0.0.203 Windows 和 Macintosh
1 Flash Player 下载中心 Flash Player 分发
Flash Player 扩展支持版本 13.0.0.302 Windows 和 Macintosh
1 扩展支持
适用于 Linux 的 Flash Player 11.2.202.481 Linux 3 Flash Player 下载中心
适用于 Google Chrome 的 Flash Player 18.0.0.203  Windows 和 Macintosh    1 Google Chrome 版本
适用于 Google Chrome 的 Flash Player 18.0.0.204 Linux 3 Google Chrome 版本
适用于 Internet Explorer 10 和 Internet Explorer 11 的 Flash Player 18.0.0.203 Windows 8.0 和 8.1
1 Microsoft 安全建议
AIR 桌面运行时 18.0.0.180 Windows 和 Macintosh 3 AIR 下载中心
AIR SDK 18.0.0.180 Windows、Macintosh、Android 和 iOS 3 AIR SDK 下载
AIR SDK & Compiler 18.0.0.180 Windows、Macintosh、Android 和 iOS 3 AIR SDK 下载
  • Adobe 建议 Adobe Flash Player 桌面运行时的 Windows 和 Macintosh 用户通过访问 Adobe Flash Player 下载中心更新至 Adobe Flash Player 18.0.0.203,或者在出现提示时,通过产品中的更新机制进行更新 [1]。
  • Adobe 建议 Adobe Flash Player 扩展支持版本 [2] 的用户应该通过访问 http://helpx.adobe.com/cn/flash-player/kb/archived-flash-player-versions.html,更新至版本 13.0.0.302。
  • Adobe 建议 Adobe Flash Player 的 Linux 用户应通过访问 Adobe Flash Player 下载中心,更新至 Adobe Flash Player 11.2.202.481。
  • 随 Google Chrome 一起安装的 Adobe Flash Player 将自动更新至最新的 Google Chrome 版本,其中将包括适用于 Windows 和 Macintosh 的 Adobe Flash Player 18.0.0.203,以及适用于 Linux 的 Flash Player 18.0.0.204。
  • 随 Windows 8.x 自带 Internet Explorer 一起安装的 Adobe Flash Player 将会自动更新至最新版本,其中将包括 Adobe Flash Player 18.0.0.203。
  • 请访问 Flash Player 帮助页面,获得有关 Flash Player 的安装协助。
 
[1] 对于使用适用于 Windows 的 Flash Player 11.2.x 或更高版本的用户,或者使用适用于 Macintosh 的 Flash Player 11.3.x 或更高版本的用户而言,如果选择了“允许 Adobe 安装更新”选项,则可以自动获取更新。未启用“允许 Adobe 安装更新”选项的用户可在收到提示后通过产品中的更新机制安装更新。
 
[2] 注意:从 2015 年 8 月 11 日起,Adobe 将把适用于 Macintosh 和 Windows 的“扩展支持版本”从 Flash Player 13 更新至 Flash Player 18。要随时获取所有可用的安全更新,用户必须安装 Flash Player 扩展支持版本 18 或更新至最新的可用版本。有关完整的详细信息,请参阅下面这篇博客文章:http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

漏洞详情

  • 这些更新改进了 Window 7 64 位平台中 Flash 堆的内存地址随机化 (CVE-2015-3097)。
  • 这些更新修复了若干可导致代码执行的堆缓冲区溢出漏洞(CVE-2015-3135、CVE-2015-4432、CVE-2015-5118)。
  • 这些更新解决了可能导致代码执行的内存损坏漏洞(CVE-2015-3117、CVE-2015-3123、CVE-2015-3130、CVE-2015-3133、CVE-2015-3134、CVE-2015-4431、CVE-2015-5124)。
  • 这些更新解决了空指针取消引用问题(CVE-2015-3126、CVE-2015-4429)。
  • 这些更新修复了可能导致信息泄露的安全功能绕过漏洞 (CVE-2015-3114)。
  • 这些更新解决了若干可导致代码执行的类型混淆漏洞(CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433)。
  • 这些更新修复了若干可导致代码执行的释放后使用 (use-after-free) 漏洞(CVE-2015-3118、CVE-2015-3124、CVE-2015-5117、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4430、CVE-2015-5119)。
  • 这些更新修复了可能被利用以绕过同源策略 (same-origin-policy) 并导致信息泄露的漏洞(CVE-2014-0578、CVE-2015-3115、CVE-2015-3116、CVE-2015-3125、CVE-2015-5116)。

鸣谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 Google 互联网安全项目团队“Project Zero”的 Ben Hawkes (CVE-2015-4430)
  • 参与 Chromium 漏洞奖励计划的 bilou(CVE-2015-3118、CVE-2015-3128)
  • 来自谷歌“Project Zero”团队的 Chris Evans(CVE-2015-3097、CVE-2015-5118)
  • 来自 Google 互联网安全项目团队“Project Zero”的 Chris Evans、Ben Hawkes 和 Mateusz Jurczyk (CVE-2015-4432)
  • 参与 HP Zero Day Initiative 的 David Kraftsow(个人主页:dontsave.com) (CVE-2015-3125)
  • 来自阿里巴巴安全威胁信息中心的 Instruder (CVE-2015-3133)
  • 来自腾讯玄武实验室的 Kai Kang(CVE-2015-4429、CVE-2015-5124)
  • 来自 Fortinet FortiGuard 实验室的 Kai Lu (CVE-2015-3117)
  • 来自碁震安全研究团队 (KEEN Team) 的 Jihui Lu (CVE-2015-3124)
  • Malte Batram(CVE-2015-3115、CVE-2015-3116)
  • 来自 Google 互联网安全项目团队“Project Zero”的 Mateusz Jurczyk (CVE-2015-3123)
  • 来自 Google 互联网安全项目团队“Project Zero”的 Natalie Silvanovich(CVE-2015-3130、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433、CVE-2015-5117、CVE-2015-3127、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428)
  • 来自老牌代码安全审计机构 (NCC Group) 的 Soroush Dalili(CVE-2015-3114、CVE-2014-0578)
  • 来自腾讯电脑管家 (Tencent PC Manager) 的 willJ (CVE-2015-3126)
  • 来自奇虎 360 火神团队的 Yuki Chen(CVE-2015-3134、CVE-2015-3135、CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google 互联网安全项目团队“Project Zero”和 Morgan Marquis-Boire (CVE-2015-5119)

修订

2015 年 7 月 17 日:进行更新,以包括在这些更新中解决的另一个 CVE (CVE-2015-5124),公告因疏忽而将其遗漏了。