Adobe Flash Playerin tietoturvapäivitykset

Julkaisupäivä: 8. heinäkuuta 2015

Viimeksi päivitetty: 17. heinäkuuta 2015

Haavoittuvuuden tunniste: APSB15-16

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Ympäristö: Kaikki ympäristöt

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Flash Player -ohjelmiston Windows-, Macintosh- ja Linux-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, jotka voivat johtaa siihen, että hyökkääjä saa altistuneen järjestelmän haltuunsa. Adobe on tietoinen julkaistusta raportista, jonka mukaan CVE-2015-5119-haavoittuvuutta hyödynnetään.

Versiot

Tuote Versiot Ympäristö
Ajonaikainen Flash Player -työpöytäsovellus 18.0.0.194 ja aiemmat versiot
Windows ja Macintosh
Adobe Flash Playerin laajennetun tuen versio 13.0.0.296 ja aiemmat versiot Windows ja Macintosh
Adobe Flash Player Google Chromelle  18.0.0.194 ja aiemmat versiot Windows, Macintosh ja Linux
Adobe Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle 18.0.0.194 ja aiemmat versiot Windows 8.0 ja 8.1
Adobe Flash Player 11.2.202.468 ja aiemmat versiot Linux
AIR Desktop Runtime 18.0.0.144 ja aiemmat versiot Windows ja Macintosh
AIR SDK 18.0.0.144 ja aiemmat versiot Windows, Macintosh, Android ja iOS
AIR SDK & Compiler 18.0.0.144 ja aiemmat versiot Windows, Macintosh, Android ja iOS
  • Voit tarkistaa Adobe Flash Playerin version siirtymällä About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.  
  • Voit tarkistaa järjestelmään asennetun Adobe AIRin version Adobe AIR TechNote -tiedotteen ohjeiden mukaisesti.

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetyt versiot Ympäristö Prioriteetti
Saatavuus
Flash Player -työpöytäsovellus
18.0.0.203 Windows ja Macintosh
1 Flash Player -latauskeskuksen Flash Player -jakeluversio
Flash Playerin laajennetun tuen versio 13.0.0.302 Windows ja Macintosh
1 Laajennettu tuki
Flash Player for Linux 11.2.202.481 Linux 3 Flash Player -latauskeskus
Flash Player Google Chromelle 18.0.0.203  Windows ja Macintosh    1 Google Chrome -versiot
Flash Player Google Chromelle 18.0.0.204 Linux 3 Google Chrome -versiot
Flash Player Internet Explorer 10:lle ja Internet Explorer 11:lle 18.0.0.203 Windows 8.0 ja 8.1
1 Microsoftin tietoturvatiedote
AIR Desktop Runtime 18.0.0.180 Windows ja Macintosh 3 AIR-latauskeskus
AIR SDK 18.0.0.180 Windows, Macintosh, Android ja iOS 3 AIR SDK -lataus
AIR SDK & Compiler 18.0.0.180 Windows, Macintosh, Android ja iOS 3 AIR SDK -lataus
  • Adobe suosittelee, että ajonaikaisen Adobe Flash Playerin työpöytäsovelluksen Windows- ja Macintosh-käyttäjät päivittävät uusimpaan versioon 18.0.0.203 Adobe Flash Player -latauskeskuksesta tai käyttämällä tuotteessa olevaa päivitysmekanismia, kun he saavat siihen kehotuksen[1].
  • Adobe suosittelee Adobe Flash Playerin Extended Support -julkaisun [2] käyttäjiä päivittämään versioon 13.0.0.302 sivustolla http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
  • Adobe suosittelee, että Adobe Flash Playerin Linux-käyttäjät päivittävät versioon 11.2.202.481 Adobe Flash Player -latauskeskuksesta.
  • Adobe Flash Player , joka asennettu Google Chromen kanssa, päivitetään automaattisesti uusimpaan Google Chrome -versioon, johon sisältyy Adobe Flash Player 18.0.0.203 (Windows- ja Macintosh-käyttöjärjestelmissä) tai Adobe Flash Player 18.0.0.204 (Linux-käyttöjärjestelmissä).
  • Adobe Flash Player , joka on asennettu Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivitetään automaattisesti uusimpaan versioon, johon sisältyy Adobe Flash Player 18.0.0.203.
  • Flash Playerin ohjesivulla on lisätietoja Flash Playerin asentamisesta.
 
[1] Flash Playerin 11.2.x-loppuisten tai uudempien Windows-versioiden tai Flash Playerin 11.3.x-loppuisten tai uudempien Macintosh-versioiden käyttäjät, jotka ovat valinneet vaihtoehdon 'Allow Adobe to install updates' (Salli Adoben asentaa päivitykset), saavat päivityksen automaattisesti. Käyttäjät, jotka eivät ole ottaneet käyttöön 'Allow Adobe to install updates' (Salli Adoben asentaa päivitykset) -vaihtoehtoa, voivat asentaa päivityksen tuotteeseen sisältyvän päivitysmekanismin avulla, kun he saavat tähän kehotuksen.
 
[2] Huomautus: 11.8.2015 alkaen Adobe päivittää laajennetun tuen version Flash Player 13:sta Flash Player 18:an Macintosh- ja Windows-käyttöjärjestelmissä. Jotta käyttäjät saisivat kaikki suojauspäivitykset, heidän on päivitettävä Flash Playerin laajennetun tuen versio versioon 18 tai uusimpaan saatavilla olevaan versioon. Tarkat tiedot ovat seuraavassa blogiviestissä: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset parantavat Flash-keon muistiosoitteiden satunnaisuutta 64-bittisessä Window 7 -käyttöjärjestelmässä (CVE-2015-3097).
  • Nämä päivitykset ratkaisevat keon ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3135, CVE-2015-4432 ja CVE-2015-5118).
  • Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431 ja CVE-2015-5124).
  • Nämä päivitykset ratkaisevat nollaosoittimen viittausongelmat (CVE-2015-3126 ja CVE-2015-4429).
  • Nämä päivitykset ratkaisevat turvallisuuden ohituksen haavoittuvuuden, joka voi johtaa tietovuotoon (CVE-2015-3114).
  • Nämä päivitykset ratkaisevat tyyppiepäselvyyshaavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122 ja CVE-2015-4433)
  • Nämä päivitykset ratkaisevat haavoittuvuuksia, jotka kohdistuvat muistin vapauttamisen jälkeiseen tilaan ja jotka voivat johtaa koodin suoritukseen (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430 ja CVE-2015-5119).
  • Nämä päivitykset ratkaisevat haavoittuvuuksia, joita hyödyntämällä voidaan ohittaa saman lähteen käytäntö ja jotka voivat johtaa tietojen paljastumiseen (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125 ja CVE-2015-5116).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Ben Hawkes Google Project Zero -ohjelmasta (CVE-2015-4430)
  • bilou yhdessä Chromium Vulnerability Rewards Program -ohjelman kanssa (CVE-2015-3118 ja CVE-2015-3128)
  • Chris Evans Google Project Zero -ohjelmasta (CVE-2015-3097 ja CVE-2015-5118)
  • Chris Evans, Ben Hawkes ja Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2015-4432)
  • David Kraftsow (dontsave) yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3125)
  • instruder Alibaba Security Threat Informationista (CVE-2015-3133)
  • Kai Kang Tencentin Xuanwu Labista (CVE-2015-4429 ja CVE-2015-5124)
  • Kai Lu, Fortinetin FortiGuard Labs (CVE-2015-3117)
  • Jihui Lu KEEN-työryhmästä (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115 ja CVE-2015-3116)
  • Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2015-3123)
  • Natalie Silvanovich Google Project Zero -ohjelmasta (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137 ja CVE-2015-4428)
  • Soroush Dalili NCC Groupilta (CVE-2014-3114 ja CVE-2015-0578)
  • willJ Tencent PC Managerista (CVE-2015-3126)
  • Yuki Chen Qihoo 360 Vulcan Teamista (CVE-2015-3134, CVE-2015-3135 ja CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero -ohjelma ja Morgan Marquis-Boire (CVE-2015-5119)

Versiot

17.7.2015: Päivitetty sisältämään näiden päivitysten ratkaisema haavoittuvuus (CVE-2015-5124), joka jäi vahingossa pois tiedotteesta.