Adoben tietoturvatiedote

Julkaisupäivä: 8. joulukuuta 2015

Viimeksi päivitetty: 3. kesäkuuta 2016

Haavoittuvuuden tunniste: APSB15-32

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Ympäristö: Kaikki ympäristöt

Adobe on julkaissut tietoturvapäivityksiä Adobe Flash Playeriin.  Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

• Voit tarkistaa Adobe Flash Playerin version siirtymällä About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.  
• Voit tarkistaa järjestelmään asennetun Adobe AIRin version Adobe AIR TechNote -tiedotteen ohjeiden mukaisesti.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

• Adobe suosittelee Adobe Flash Player Desktop Runtimen Windows- ja Macintosh-käyttäjiä päivittämään versioon 20.0.0.228 (Internet Explorer -tuki) ja 20.0.0.235 (Firefox- ja Safari-tuki) Adobe Flash Player -latauskeskuksesta tai käyttämällä tuotteen sisäistä päivitysmekanismia, kun sitä kysytään [1].
• Adobe suosittelee Adobe Flash Playerin laajennetun tuen version käyttäjiä päivittämään versioon 18.0.0.268 https://helpx.adobe.com/fi/flash-player/kb/archived-flash-player-versions.html.
• Adobe suosittelee, että Adobe Flash Playerin Linux-käyttäjät päivittävät versioon 11.2.202.554 _fiAdobe Flash Player -latauskeskuksesta.
• Google Chromen kanssa asennettu Adobe Flash Player päivitetään automaattisesti uusimpaan Google Chrome -selainversioon, joka sisältää Adobe Flash Player -version 20.0.0.228 Windowsille, Macintoshille, Linuxille ja Chrome OS:lle.
• Microsoft Edgen ja Internet Explorer for Windows 10:n kanssa asennettu Adobe Flash Player päivitetään automaattisesti uusimpaan selainversioon, joka sisältää Adobe Flash Player -version 20.0.0.228. 
• Adobe Flash Player , joka on asennettu Internet Explorerin kanssa Windows 8.x -käyttöjärjestelmään, päivitetään automaattisesti uusimpaan versioon, johon sisältyy Adobe Flash Player 20.0.0.228.
• Adobe suosittelee AIR desktop runtime-, AIR SDK- ja AIR SDK & Compiler -käyttäjiä päivittämään versioon 20.0.0.204 AIR-latauskeskuksessa tai AIR-sovelluskehittäjäkeskuksessa. 
• Flash Playerin ohjesivulla on lisätietoja Flash Playerin asentamisesta.

• Nämä päivitykset ratkaisevat kekopuskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (-8438, CVE-2015- ja CVE-2015-8446).
• Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
• Nämä päivitykset ratkaisevat suojauksen ohitushaavoittuvuuksia (CVE-2015-8453, CVE-2015-8440 ja CVE-2015-8409).
• Nämä päivitykset ratkaisevat pinon ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-8407, CVE-2015-8457).
• Nämä päivitykset ratkaiset tyyppisekaannushaavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (-8456-8439, CVE-2015- ja CVE-2015).
• Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-8445).
• Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-8415)
• Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).
  

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

• AbdulAziz Hariri HPE:n Zero Day Initiative -ohjelmasta (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  
• Anonyymi yhteistyössä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655 ja CVE-2015-8823)
• bee13oy yhdessä Chromium Vulnerability Rewards -ohjelman kanssa (CVE-2015-8418)
• bilou yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445 ja CVE-2015-8439)
• Furugawa Nagisa yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8436)
• Hui Gao Palo Alto Networksista (CVE-2015-8443 ja CVE-2015-8444)
• instruder Alibaba Security Threat Information Centeristä (CVE-2015-8060, CVE-2015-8408 ja CVE-2015-8419)
• Jie Zeng Qihoo 360:sta (-8415, CVE-2015- ja CVE-2015-8417)
• Jie Zeng Qihoo 360:sta ja anonyymi yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8416)
• LMX Qihoo 360:sta (CVE-2015-8451 ja CVE-2015-8452)
• Natalie Silvanovich Google Project Zero -ohjelmasta (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
• Nicolas Joly Microsoft Securitystä (CVE-2015-8414 ja CVE-2015-8435)
• s3tm3m yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8457)
  
• VUPEN yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8453)
• willJ Tencent PC Managerista (CVE-2015-8407)
• Yuki Chen Qihoo 360 Vulcan -tiimistä (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045 ja CVE-2015-8441)

8. joulukuuta 2015: CVE-2015-8051, CVE-2015-8052 ja CVE-2015-8053 poistettu (jotka olivat nimetty aiemmin).  Lisätty CVE-2015-8418 (korvaa CVE-2015-8051:n), CVE-2015-8454 (korvaa CVE-2015-8052:n) ja CVE-2015-8455 (korvaa CVE-2015-8053:n).  Poistettu myös CVE-2015-8054, joka lisättiin alkuperäiseen tiedotteeseen vahingossa. 

9. joulukuuta 2015: lisätty CVE-2015-8456 ja CVE-2015-8457, jotka jätettiin vahingossa pois tästä tiedotteesta. 

2. maaliskuuta 2016: lisätty seuraavat CVE:t, jotka jätettiin vahingossa pois alkuperäisestä versiosta: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15. huhtikuuta 2016: lisätty CVE-2015-8823, jotka jätettiin vahingossa pois alkuperäisestä versiosta. 

3. kesäkuuta 2016: lisätty kiitos anonyymille, joka työskenteli yhdessä HPE:n Zero Day Initiative -ohjelman kanssa haavoittuvuuden CVE-2015-8416 parissa. Tämän CVE:n ilmoitti itsenäisesti Jie Zeng Qihoo 360:sta.