Adobe Flash Playerin tietoturvapäivitykset

Julkaisupäivä: 9. kesäkuuta 2015

Viimeksi päivitetty: 3. heinäkuuta 2015

Haavoittuvuuden tunniste: APSB15-11

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108, CVE-2015-5120

Ympäristö Kaikki ympäristöt

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille.  Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Ajonaikaisen Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 18.0.0.160.
  • Adobe Flash Playerin laajennetun tuen version Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.292. *
  • Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.466.
  • Google Chromen mukana asennettu Adobe Flash Player päivittyy automaattisesti versioon 18.0.0.160 (Windowsissa ja Linuxissa) tai 18.0.0.161 (Macintoshissa). 
  • Internet Explorerin mukana Windows 8.x -käyttöjärjestelmään asennettu Adobe Flash Player päivittyy automaattisesti versioon 18.0.0.160.
  • Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 18.0.0.143 (Macintoshissa) tai 18.0.0.144 (Windowsissa).
  • Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 18.0.0.143 (Macintoshissa) tai 18.0.0.144 (Windowsissa). 
  • Adobe AIRin Android-käyttäjien tulee päivittää versioon 18.0.0.143. 

Ohjelmistoversiot, joita haavoittuvuus koskee

  • Adobe Flash Player 17.0.0.188 ja aiemmat Windows- ja Macintosh-käyttöjärjestelmien versiot
  • Adobe Flash Playerin laajennetun tuen versio 13.0.0.289 ja aiemmat Windows- ja Macintosh-käyttöjärjestelmien 13.x-versiot
  • Adobe Flash Playerin versio 11.2.202.460 ja aiemmat Linux-käyttöjärjestelmän 11.x-versiot
  • Ajonaikaisen Adobe AIR -työpöytäohjelmiston versio 17.0.0.172 ja aiemmat versiot Windowsille ja Macintoshille
  • Adobe AIR SKD:n ja SDK & Compilerin versio 17.0.0.172 ja aiemmat versiot Windowsille ja Macintoshille
  • Adobe AIRin Android-versio 17.0.0.144 ja aiemmat versiot

Voit tarkistaa Adobe Flash Playerin version siirtymällä About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.

Voit tarkistaa järjestelmään asennetun Adobe AIRin version Adobe AIR TechNote -tiedotteen ohjeiden mukaisesti.

Ratkaisu

Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:

  • Adobe suosittelee Adobe Flash Player Desktop Runtimen Windows- ja Macintosh-käyttäjiä päivittämään Adobe Flash Player -versioon 18.0.0.160 Adobe Flash Player -latauskeskuksessa tai tuotteen päivitysmekanismin avulla sitä pyydettäessä.
  • Adobe suosittelee Adobe Flash Playerin laajennetun tuen version käyttäjiä päivittämään versioon 13.0.0.292 osoitteessa http://helpx.adobe.com/fi/flash-player/kb/archived-flash-player-versions.html.*
  • Adobe suosittelee, että Adobe Flash Playerin Linux-käyttäjät päivittävät versioon 11.2.202.466 Adobe Flash Player -latauskeskuksesta.
  • Adobe Flash Player , joka asennettu Google Chromen kanssa, päivitetään automaattisesti uusimpaan Google Chrome -versioon, johon sisältyy Adobe Flash Player 18.0.0.160 (Windows- ja Linux-käyttöjärjestelmissä) tai Adobe Flash Player 18.0.0.161 (Macintosh-käyttöjärjestelmissä).
  • Adobe Flash Player , joka on asennettu Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivitetään automaattisesti uusimpaan versioon, johon sisältyy Adobe Flash Player 18.0.0.160.
  • Adobe suosittelee Adobe AIR Desktop Runtime -käyttäjiä päivittämään versioon 18.0.0.143 (Macintosh) tai 18.0.0.144 (Windows) Adobe AIRin latauskeskuksessa
  • Adobe suosittelee Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjiä päivittämään versioon 18.0.0.143 (Macintosh) tai 18.0.0.144 (Windows) Adobe AIRin latauskeskuksessa.
  • Adobe suosittelee Adobe AIR for Android -käyttäjiä päivittämään versioon 18.0.0.143 lataamalla uusimman version Google Play -kaupasta.

*Huomautus: 11.8.2015 alkaen Adobe päivittää laajennetun tuen version Flash Player 13:sta Flash Player 18:sta Macintosh- ja Windows-käyttöjärjestelmissä.  Jotta käyttäjät saisivat kaikki suojauspäivitykset, heidän on päivitettävä Flash Playerin laajennetun tuen versio versioon 18 tai uusimpaan saatavilla olevaan versioon. Tarkat tiedot ovat tässä blogiviestissä.

Prioriteetti- ja vakavuusluokitukset

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versiot Ympäristö Prioriteettiluokitus
Ajonaikainen Flash Player -työpöytäsovellus 17.0.0.188 ja aiemmat versiot
Windows ja Macintosh
1
Adobe Flash Playerin laajennetun tuen versio 13.0.0.289 ja aiemmat versiot Windows ja Macintosh
1
Adobe Flash Player Google Chromelle  17.0.0.188 ja aiemmat versiot Windows, Macintosh ja Linux
1
Adobe Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle 17.0.0.188 ja aiemmat versiot Windows 8.0 ja 8.1 1
Adobe Flash Player 11.2.202.460 ja aiemmat versiot Linux 3
AIR Desktop Runtime 17.0.0.172 ja aiemmat versiot Windows ja Macintosh  3
AIR SDK 17.0.0.172 ja aiemmat versiot Windows, Macintosh, Android ja iOS  3
AIR SDK & Compiler 17.0.0.172 ja aiemmat versiot Windows, Macintosh, Android ja iOS  3
AIR for Android 17.0.0.144 ja aiemmat versiot Android 3

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.

Tiedot

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille.  Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin: 

  • Ajonaikaisen Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 18.0.0.160. 
  • Adobe Flash Playerin laajennetun tuen version Windows- ja Macintosh-käyttäjien tulee päivittää Adobe Flash Player versioon 13.0.0.292. 
  • Adobe Flash Playerin Linux-käyttäjien tulee päivittää Adobe Flash Player versioon 11.2.202.466. 
  • Google Chromen mukana asennettu Adobe Flash Player päivittyy automaattisesti versioon 18.0.0.160 (Windowsissa ja Linuxissa) tai 18.0.0.161 (Macintoshissa).  
  • Internet Explorerin mukana Windows 8.x -käyttöjärjestelmään asennettu Adobe Flash Player päivittyy automaattisesti versioon 18.0.0.160. 
  • Ajonaikaisen Adobe AIR -työpöytäohjelmiston pitäisi päivittyä versioon 18.0.0.143 (Macintoshissa) tai 18.0.0.144 (Windowsissa). 
  • Adobe AIR SDK- ja AIR SDK & Compiler -käyttäjien tulee päivittää versioon 18.0.0.143 (Macintoshissa) tai 18.0.0.144 (Windowsissa).  
  • Adobe AIRin Android-käyttäjien tulee päivittää versioon 18.0.0.143.

Nämä päivitykset ratkaisevat haavoittuvuuden (CVE-2015-3096), jota hyödyntämällä haavoittuvuuden CVE-2014-5333 korjaus voidaan ohittaa. 

Nämä päivitykset parantavat Flash-keon muistiosoitteiden satunnaisuutta 64-bittisessä Window 7 -käyttöjärjestelmässä (CVE-2015-3097). 

Nämä päivitykset ratkaisevat haavoittuvuuksia, joita hyödyntämällä voidaan ohittaa saman lähteen käytäntö ja jotka voivat johtaa tietojen paljastumiseen (CVE-2015-3098, CVE-2015-3099 ja CVE-2015-3102).  

Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-3100).

Nämä päivitykset ratkaisevat Internet Explorerin Flash-välittäjän oikeusongelman, jota hyödyntämällä käyttöoikeudet voidaan laajentaa alhaiselta tasolta keskitasolle (CVE-2015-3101).    

Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-3104).

Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-3105 ja CVE-2015-5120).

Nämä päivitykset ratkaisevat vapauksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3103, CVE-2015-3106 ja CVE-2015-3107).

Nämä päivitykset ratkaisevat muistivuotohaavoittuvuuden, joka voit johtaa ASLR-suojauksen ohittamiseen (CVE-2015-3108). 

Ohjelmistot, joihin päivitys vaikuttaa   Suositeltu Playerin päivitys Saatavuus
Flash Player -työpöytäsovellus
  18.0.0.160

Flash Player -latauskeskus

Flash Player -jakelu

Flash Playerin laajennetun tuen versio   13.0.0.292 Laajennettu tuki
Flash Player for Linux   11.2.202.466 Flash Player -latauskeskus
Flash Player Google Chromelle  

18.0.0.160 (Windows ja Linux)

18.0.0.161 (Macintosh)

Google Chrome -versiot
Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle   18.0.0.160
Microsoftin tietoturvatiedote
AIR Desktop Runtime  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

AIR-latauskeskus
AIR SDK  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

AIR SDK -lataus
AIR SDK & Compiler  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

AIR SDK -lataus
AIR for Android   18.0.0.143 Google Play

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • bilou yhdessä Chromium Vulnerability Reward -ohjelman kanssa (CVE-2015-3106)
  • Chris Evans Google Project Zero -ohjelmasta (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105 ja CVE-2015-3108)
  • Haifei Li McAfee Labsin IPS Teamista (CVE-2015-3100) 
  • 李普君 (Pujun Li) / PKAV-tiimi (pkav.net) (CVE-2015-3102)
  • Malte Batram (CVE-2015-3098 ja CVE-2015-3099)  
  • Natalie Silvanovich Google Project Zero -ohjelmasta (CVE-2015-3107)
  • Tomas Polesovsky (CVE-2015-3096) 
  • Wen Guanxing Venustech ADLABista (CVE-2015-3103)
  • Linan Hao Qihoo 360Vulcan Teamista (CVE-2015-5120)

Versiot

3.7.2015: Lisätty viittaus näiden päivitysten ratkaisemaan haavoittuvuuteen CVE-2015-5120, joka jäi vahingossa pois tiedotteesta.