Adoben tietoturvatiedote

Julkaisupäivä: 14. huhtikuuta 2015

Viimeksi päivitetty: 11. elokuuta 2015

Haavoittuvuuden tunniste: APSB15-06

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2015-0346, CVE-2015-0347, CVE-2015-0348, CVE-2015-0349, CVE-2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Ympäristö Kaikki ympäristöt

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille.  Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  

Adobe on tietoinen haavoittuvuutta CVE-2015-3043 hyödyntävistä uhista, joten suosittelemme käyttäjiä päivittämään tuotteensa seuraaviin uusimpiin versioihin:

• Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 17.0.0.169. 
• Adobe Flash Playerin laajennetun tuen version käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.281. 
• Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.457. 
• Adobe Flash Player , joka on asennettu Google Chromen tai Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivittyy automaattisesti versioon 17.0.0.169. 
• Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 17.0.0.172.
• Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 17.0.0.172.

• Adobe Flash Player 17.0.0.134 ja aiemmat versiot
• Adobe Flash Player 13.0.0.277 ja aiemmat 13.x-versiot
• Adobe Flash Player 11.2.202.451 ja aiemmat 11.x-versiot
• AIR -työpöytäsovelluksen Runtime-versio 17.0.0.144 ja aiemmat versiot
• AIR SDK ja SDK & Compiler 17.0.0.144 ja aiemmat versiot

Voit tarkistaa Adobe Flash Playerin version siirtymällä  About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.

Voit tarkistaa järjestelmään asennetun Adobe AIRin version Adobe AIR TechNote -tiedotteen ohjeiden mukaisesti.

Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:

• Adobe suosittelee Adobe Flash Player Desktop Runtimen Windows- ja Macintosh-käyttäjiä päivittämään Adobe Flash Player -versioon 17.0.0.169 Adobe Flash Player -latauskeskuksessa tai tuotteen päivitysmekanismin avulla sitä pyydettäessä.

• Adobe suosittelee Adobe Flash Playerin Extended Support -julkaisun käyttäjiä päivittämään versioon 13.0.0.281 sivustolla http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.

• Adobe suosittelee Adobe Flash Playerin Linux-käyttäjiä päivittämään Adobe Flash Player -versioon 11.2.202.457 Adobe Flash Playerin latauskeskuksessa.

• Adobe Flash Player , joka on asennettu Google Chromen kanssa, päivitetään automaattisesti uusimpaan Google Chrome -versioon, johon sisältyy Adobe Flash Player 17.0.0.169. 

• Adobe Flash Player , joka on asennettu Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivitetään automaattisesti uusimpaan versioon, johon sisältyy Adobe Flash Player 17.0.0.169.

• Adobe suosittelee, että Adobe AIR -työpöytäsovelluksen käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.  

• Adobe suosittelee, että Adobe AIR SDK -käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.  

• Adobe suosittelee, että Adobe AIR SDK & Compiler -käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille.  Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. 

Adobe on tietoinen haavoittuvuutta CVE-2015-3043 hyödyntävistä uhista, joten suosittelemme käyttäjiä päivittämään tuotteensa seuraaviin uusimpiin versioihin:

• Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 17.0.0.169.

• Adobe Flash Playerin laajennetun tuen version käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.281.

• Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.457.

• Adobe Flash Player , joka on asennettu Google Chromen tai Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivittyy automaattisesti versioon 17.0.0.169.

• Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 17.0.0.172.

• Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 17.0.0.172.

Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Nämä päivitykset ratkaisevat tyyppiepäselvyyshaavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-0356). 

Nämä päivitykset ratkaisevat puskurin ylivuotohaavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-0348). 

Nämä päivitykset ratkaisevat vapautuksen jälkeiseen käyttöön liittyviä haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Nämä päivitykset ratkaisevat vapautuksen jälkeiseen käyttöön liittyviä haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-0346, CVE-2015-0359). 

Nämä päivitykset ratkaisevat muistivuotohaavoittuvuuksia, jotka voivat johtaa ASLR-suojauksen ohittamiseen (CVE-2015-0357, CVE-2015-3040).  

Nämä päivitykset ratkaisevat turvallisuuden ohituksen haavoittuvuuden, joka voi johtaa tietovuotoon (CVE-2015-3044). 

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

• Anonyymi (CVE-2015-3043)

• bilou yhdessä Chromium Vulnerability Reward -ohjelman kanssa (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  

• Chris Evans Google Project Zero -ohjelmasta (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355 ja CVE-2015-0360)

• instruder Alibaba Security Research Teamista (CVE-2015-3038)

• Jihui Lu KeenTeamistä (@K33nTeam) yhdessäChromium Vulnerability Rewards -ohjelman kanssa (CVE-2015-0351, CVE-2015-3040 ja CVE-2015-3041)

• Jouko Pynnönen Klikki Oy:stä (CVE-2015-0346 ja CVE-2015-3044)

• Michele Spagnuolo Google Security Teamista ja Mark Brand Google Project Zero -ohjelmasta (CVE-2015-3042)

• Natalie Silvanovich yhdessä Google Project Zero -ohjelman kanssa (CVE-2015-0356)

• Natalie Silvanovich yhdessä Google Project Zero -ohjelman kanssa ja bilou yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3039)

• Nicolas Joly yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-0349)

• Steven Vittitoe Google Project Zero -ohjelmasta (CVE-2015-0350)

• s3tm3m yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-0347)

12.5.2015: Lisätty Adobe AIR -versioden päivitykset, jotka ratkaisevat tässä tiedotteessa ilmoitetut CVE-haavoittuvuudet. 

3.7.2015: Lisätty kiitos bilou yhdessä HP:n Zero Day Initiative -ohjelman kanssa haavoittuvuudesta CVE-2015-3039 ilmoittamisesta.