Adobe Flash Player 安全更新

发布日期:2016 年 7 月 12 日

上次更新日期:2016 年 10 月 3 日

漏洞标识符:APSB16-25

优先级:请见下表

CVE 编号:CVE-2016-4172、CVE-2016-4173、CVE-2016-4174、2016-4175、CVE-2016-4176、CVE-2016-4177、CVE-2016-4178、CVE-2016-4179、CVE-2016-4180、CVE-2016-4181、CVE-2016-4182、CVE-2016-4183、CVE-2016-4184、CVE-2016-4185、CVE-2016-4186、CVE-2016-4187、CVE-2016-4188、CVE-2016-4189、CVE-2016-4190、CVE-2016-4217、CVE-2016-4218、CVE-2016-4219、CVE-2016-4220、CVE-2016-4221、CVE-2016-4222、CVE-2016-4223、CVE-2016-4224、CVE-2016-4225、CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、CVE-2016-4230、CVE-2016-4231、CVE-2016-4232、CVE-2016-4233、CVE-2016-4234、CVE-2016-4235、CVE-2016-4236、CVE-2016-4237、CVE-2016-4238、CVE-2016-4239、CVE-2016-4240、CVE-2016-4241、CVE-2016-4242、CVE-2016-4243、CVE-2016-4244、CVE-2016-4245、CVE-2016-4246、CVE-2016-4247、CVE-2016-4248、CVE-2016-4249, CVE-2016-7020

平台:Windows、Macintosh、Linux 和 Chrome OS

摘要

Adobe 已为适用于 Windows、Macintosh、Linux 和 Chrome OS 的 Adobe Flash Player 发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 受影响的版本 平台
Adobe Flash Player 桌面运行时 22.0.0.192 及更早版本
Windows 和 Macintosh
Adobe Flash Player 扩展支持版本 18.0.0.360 及更早版本 Windows 和 Macintosh
适用于 Google Chrome 的 Adobe Flash Player 22.0.0.192 及更早版本 Windows、Macintosh、Linux 和 Chrome OS
适用于 Microsoft Edge 和 Internet Explorer 11 的 Adobe Flash Player 22.0.0.192 及更早版本 Windows 10 和 8.1
适用于 Linux 的 Adobe Flash Player 11.2.202.626 及更早版本 Linux
  • 若要验证在系统上安装的 Adobe Flash Player 的版本,请访问“关于 Flash Player”页面,或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新版本 平台 优先级 获取途径
Adobe Flash Player 桌面运行时
22.0.0.209 Windows 和 Macintosh
1

Flash Player 下载中心

Flash Player 分发

Adobe Flash Player 扩展支持版本 18.0.0.366 Windows 和 Macintosh
1 扩展支持
适用于 Google Chrome 的 Adobe Flash Player 22.0.0.209 Windows、Macintosh、Linux 和 Chrome OS   1 Google Chrome 版本
适用于 Microsoft Edge 和 Internet Explorer 11 的 Adobe Flash Player 22.0.0.209 Windows 10 和 8.1 1 Microsoft 安全公告
适用于 Linux 的 Adobe Flash Player 11.2.202.632 Linux 3 Flash Player 下载中心
  • Adobe 建议 Adobe Flash Player 桌面运行时的 Windows 和 Macintosh 用户在收到提示时[1],通过产品中的更新机制更新到 22.0.0.209,或者通过访问 Adobe Flash Player 下载中心进行更新。
  • Adobe 建议 Adobe Flash Player 扩展支持版本的用户应该通过访问 http://helpx.adobe.com/cn/flash-player/kb/archived-flash-player-versions.html 更新至版本 18.0.0.366。
  • Adobe 建议 Adobe Flash Player 的 Linux 用户通过访问 Adobe Flash Player 下载中心更新至 Adobe Flash Player 11.2.202.632。
  • 随 Google Chrome 一起安装的 Adobe Flash Player 将会自动更新至最新的 Google Chrome 版本,其中将包括适用于 Windows、Macintosh、Linux 和 Chrome OS 的 Adobe Flash Player 22.0.0.209。
  • 随 Windows 10 和 8.1 自带 Microsoft Edge 和 Internet Explorer 一起安装的 Adobe Flash Player 将会自动更新至最新版本,其中将包括 Adobe Flash Player 22.0.0.209。 
  • 请访问 Flash Player 帮助页面,获得有关 Flash Player 的安装协助。

[1] 对于使用适用于 Windows 的 Flash Player 11.2.x 或更高版本的用户,或者使用适用于 Macintosh 的 Flash Player 11.3.x 或更高版本的用户而言,如果选择了“允许 Adobe 安装更新”选项,则可以自动获取更新。未启用“允许 Adobe 安装更新”选项的用户可在收到提示后通过产品中的更新机制安装更新。

漏洞详情

  • 这些更新修复了可能导致信息泄露的竞争条件漏洞 (CVE-2016-4247)。
  • 这些更新修复了可能导致代码执行的类型混淆漏洞(CVE-2016-4223、CVE-2016-4224、CVE-2016-4225)。
  • 这些更新修复了可能导致代码执行的释放后使用漏洞(CVE-2016-4173、CVE-2016-4174、CVE-2016-4222、CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、CVE-2016-4230、CVE-2016-4231、CVE-2016-4248、CVE-2016-7020)。
  • 这些更新修复了可能导致代码执行的堆缓冲区溢出漏洞 (CVE-2016-4249)。
  • 这些更新修复了可能导致代码执行的内存损坏漏洞(CVE-2016-4172、CVE-2016-4175、CVE-2016-4179、CVE-2016-4180、CVE-2016-4181、CVE-2016-4182、CVE-2016-4183、CVE-2016-4184、CVE-2016-4185、CVE-2016-4186、CVE-2016-4187、CVE-2016-4188、CVE-2016-4189、CVE-2016-4190、CVE-2016-4217、CVE-2016-4218、CVE-2016-4219、CVE-2016-4220、CVE-2016-4221、CVE-2016-4233、CVE-2016-4234、CVE-2016-4235、CVE-2016-4236、CVE-2016-4237、CVE-2016-4238、CVE-2016-4239、CVE-2016-4240、CVE-2016-4241、CVE-2016-4242、CVE-2016-4243、CVE-2016-4244、CVE-2016-4245、CVE-2016-4246)。
  • 这些更新修复了内存泄露漏洞 (CVE-2016-4232)。
  • 这些更新解决了可导致代码执行的堆栈损坏漏洞(CVE-2016-4176、CVE-2016-4177)。
  • 这些更新修复了可能导致信息泄露的越权访问漏洞 (CVE-2016-4178)

鸣谢

  • 来自奇虎 360 Vulcan Team 并参与 Chromium 漏洞奖励计划的 Yuki Chen (CVE-2016-4249)
  • 来自 Microsoft Vulnerability Research 的 Nicolas Joly (CVE-2016-4173)
  • 来自盘古实验室的 Wen Guanxing(CVE-2016-4188、CVE-2016-4248)
  • 来自 WINS WSEC 分析团队并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Jaehun Jeong(@n3sk) (CVE-2016-4222)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Kai Kang(又名 4B5F5F4B)(CVE-2016-4174)
  • 来自腾讯电脑管家 (Tencent PC Manager) 的 willJ (CVE-2016-4172)
  • 来自 Google Project Zero 的 Natalie Silvanovich(CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、CVE-2016-4230、CVE-2016-4231、CVE-2016-4232)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Garandou Sara (CVE-2016-4223)
  • 来自 COSIG 的 Sébastien Morin (CVE-2016-4179)
  • 来自 COSIG 的 Sébastien Morin 和 Francis Provencher (CVE-2016-4175)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Kurutsu Karen (CVE-2016-4225)
  • 来自 NCC Group 的 Soroush Dalili 和 Matthew Evans (CVE-2016-4178)
  • 来自奇虎 360 Vulcan Team 的 Yuki Chen(CVE-2016-4180、CVE-2016-4181、CVE-2016-4183、CVE-2016-4184、CVE-2016-4185、CVE-2016-4186、CVE-2016-4187、CVE-2016-4233、CVE-2016-4234、CVE-2016-4235、CVE-2016-4236、CVE-2016-4239、CVE-2016-4240、CVE-2016-4241、CVE-2016-4242、CVE-2016-4243、CVE-2016-4244、CVE-2016-4245、CVE-2016-4246)
  • 来自奇虎 360 Vulcan Team 的 Yuki Chen,来自盘古实验室的 Wen Guanxing 和来自 Palo Alto Networks 的 Tao Yan (CVE-2016-4182)
  • 来自奇虎 360 Vulcan Team 的 Yuki Chen 和来自 Palo Alto Networks 的 Tao Yan(CVE-2016-4237、CVE-2016-4238)
  • 来自 FireEye 的 Junfeng Yang 和 Genwei Jiang 及来自奇虎 360 Vulcan Team 的 Yuki Chen (CVE-2016-4185)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Ohara Rinne (CVE-2016-4224)
  • 来自 COSIG 的 Francis Provencher(CVE-2016-4176、CVE-2016-4177)
  • 来自腾讯湛卢实验室的 Jie Zeng(CVE-2016-4189、CVE-2016-4190、CVE-2016-4217、CVE-2016-4218、CVE-2016-4219、CVE-2016-4220、CVE-2016-4221)
  • 来自腾讯湛卢实验室并参与 Chromium 漏洞奖励计划的 JieZeng (CVE-2016-7020)
  • Stefan Kanthak (CVE-2016-4247)

修订

2016 年 8 月 22 日:由于来自 Palo Alto Networks 的 Tao Yan 报告了 CVE-2016-4237、CVE-2016-4238 和 CVE-2016-4182,故此为 Tao Yan 增加积分。  

2016 年 8 月 26 日:更新了 CVE-2016-4175 的积分。 

2016 年 10 月 3 日:更新了 CVE-2016-7020 的积分。