Adobe Flash Playerin tietoturvapäivitykset

Julkaisupäivä: 12. toukokuuta 2015

Viimeksi päivitetty: 3. heinäkuuta 2015

Haavoittuvuuden tunniste: APSB15-09

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093

Ympäristö Kaikki ympäristöt

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 17.0.0.188.
  • Adobe Flash Playerin laajennetun tuen version käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.289.
  • Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.460.
  • Adobe Flash Player , joka on asennettu Google Chromen tai Internet Explorerin kanssa Windows 8.x-käyttöjärjestelmään, päivittyy automaattisesti versioon 17.0.0.188.
  • Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 17.0.0.172.
  • Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 17.0.0.172.

Ohjelmistoversiot, joita haavoittuvuus koskee

  • Adobe Flash Player 17.0.0.169 ja aiemmat versiot
  • Adobe Flash Player 13.0.0.281 ja aiemmat 13.x-versiot
  • Adobe Flash Player 11.2.202.457 ja aiemmat 11.x-versiot
  • AIR -työpöytäsovelluksen Runtime-versio 17.0.0.144 ja aiemmat versiot
  • AIR SDK ja SDK & Compiler 17.0.0.144 ja aiemmat versiot

Voit tarkistaa Adobe Flash Playerin version siirtymällä About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.

Voit tarkistaa järjestelmään asennetun Adobe AIRin version Adobe AIR TechNote -tiedotteen ohjeiden mukaisesti.

Ratkaisu

Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:

  • Adobe suosittelee Adobe Flash Player Desktop Runtimen Windows- ja Macintosh-käyttäjiä päivittämään Adobe Flash Player -versioon 17.0.0.188 Adobe Flash Player -latauskeskuksessa tai tuotteen päivitysmekanismin avulla sitä pyydettäessä. 

  • Adobe suosittelee Adobe Flash Playerin Extended Support -julkaisun käyttäjiä päivittämään versioon 13.0.0.289 sivustolla http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.

  • Adobe suosittelee Adobe Flash Playerin Linux-käyttäjiä päivittämään Adobe Flash Player -versioon 11.2.202.460 Adobe Flash Playerin latauskeskuksessa.

  • Adobe Flash Player , joka on asennettu Google Chromen kanssa, päivitetään automaattisesti uusimpaan Google Chrome -versioon, johon sisältyy Adobe Flash Player 17.0.0.188. 

  • Adobe Flash Player , joka on asennettu Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivitetään automaattisesti uusimpaan versioon, johon sisältyy Adobe Flash Player 17.0.0.188. 

  • Adobe suosittelee, että Adobe AIR -työpöytäsovelluksen käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.  

  • Adobe suosittelee, että Adobe AIR SDK -käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.  

  • Adobe suosittelee, että Adobe AIR SDK & Compiler -käyttäjät päivittävät versioon 17.0.0.172 Adobe AIR -latauskeskuksesta.

Prioriteetti- ja vakavuusluokitukset

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versiot Ympäristö Prioriteettiluokitus
Ajonaikainen Flash Player -työpöytäsovellus 17.0.0.169 ja aiemmat versiot
Windows ja Macintosh
1
Adobe Flash Playerin laajennetun tuen versio 13.0.0.281 ja aiemmat versiot Windows ja Macintosh
1
Adobe Flash Player Google Chromelle  17.0.0.169 ja aiemmat versiot Windows, Macintosh ja Linux
1
Adobe Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle 17.0.0.169 ja aiemmat versiot Windows 8.0 ja 8.1 1
Adobe Flash Player 11.2.202.457 ja aiemmat versiot Linux 3
AIR Desktop Runtime 17.0.0.144 ja aiemmat Windows ja Macintosh  3
AIR SDK 17.0.0.144 ja aiemmat Windows, Macintosh, Android ja iOS  3
AIR SDK & Compiler 17.0.0.144 ja aiemmat Windows, Macintosh, Android ja iOS  3

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.

Tiedot

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille.  Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 17.0.0.188.

  • Adobe Flash Playerin laajennetun tuen version käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.289.

  • Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.460.

  • Adobe Flash Player , joka on asennettu Google Chromen tai Internet Explorerin kanssa Windows 8.x-käyttöjärjestelmään, päivittyy automaattisesti versioon 17.0.0.188.

  • Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 17.0.0.172.

  • Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 17.0.0.172.

Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093)

Nämä päivitykset ratkaisevat pinon ylivuoto-ongelman, joka voi johtaa koodin suorittamiseen (CVE-2015-3088). 

Nämä päivitykset ratkaisevat TOCTOU-ajoitusongelmia, joita hyödyntämällä voidaan ohittaa Internet Explorerin suojattu tila (CVE-2015-3081). 

Nämä päivitykset ratkaisevat vahvistuksen ohitusongelmia, joita hyödyntämällä tiedostojärjestelmään voidaan kirjoittaa omavaltaisia tietoja käyttäjän oikeuksin (CVE-2015-3082, CVE-2015-3083, CVE-2015-3085).  

Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suorittamiseen (CVE-2015-3087). 

Nämä päivitykset ratkaisevat tyyppiepäselvyyshaavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086).

Nämä päivitykset ratkaisevat vapauksen jälkeisen käytön haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-3080).

Nämä päivitykset ratkaisevat muistivuotohaavoittuvuuksia, jotka voivat johtaa ASLR-suojauksen ohittamiseen (CVE-2015-3091, CVE-2015-3092). 

Nämä päivitykset ratkaisevat tietoturvan ohitushaavoittuvuuden, joka voi johtaa tietojen paljastumiseen (CVE-2015-3079), ja parantavat suojausta ongelmaa CVE-2015-3044 vastaan. 

Ohjelmistot, joihin päivitys vaikuttaa   Suositeltu Playerin päivitys Saatavuus
Flash Player -työpöytäsovellus
  17.0.0.188

Flash Player -latauskeskus

Flash Player -jakelu

Flash Playerin laajennetun tuen versio   13.0.0.289 Laajennettu tuki
Flash Player for Linux   11.2.202.460 Flash Player -latauskeskus
Flash Player Google Chromelle   17.0.0.188 Google Chrome -versiot
Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle   17.0.0.188
Microsoftin tietoturvatiedote
AIR Desktop Runtime   17.0.0.172 AIR-latauskeskus
AIR SDK   17.0.0.172 AIR SDK -lataus
AIR SDK & Compiler   17.0.0.172 AIR SDK -lataus

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • bilou yhdessä Chromium Vulnerability Reward -ohjelman kanssa (CVE-2015-3080, CVE-2015-3093, CVE-2015-3089, CVE-2015-3087, CVE-2015-3088)  

  • Chris Evans Google Project Zero -ohjelmasta (CVE-2015-3078, CVE-2015-3090, CVE-2015-3091 ja CVE-2015-3092)

  • Jietao Yang ja  Jihui Lu KeenTeamista (@K33nTeam) (CVE-2015-3083)  

  • Jietao Yang KeenTeamista (@K33nTeam) (CVE-2015-3082) 

  • Jihui Lu KeenTeamista (@K33nTeam) (CVE-2015-3081) 

  • Jouko Pynnönen Klikki Oy:sta ja Bas Venis (CVE-2015-3044 ja CVE-2015-3079)

  • Natalie Silvanovich Google Project Zero -ohjelmasta (CVE-2015-3077, CVE-2015-3084 ja CVE-2015-3086) 

  • Nicolas Joly yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3085)

Versiot

3.7.2015: lisätty kiitos Bas Venisille haavoittuvuuksista CVE-2015-3044 ja CVE-2015-3079 ilmoittamisesta.