Beveiligingsadviezen van Adobe

Zoeken
Handboek

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Beveiligingsupdates beschikbaar voor Adobe Flash Player

Releasedatum: 11 augustus 2015

Laatste update: 2 september 2015

ID kwetsbaarheidsprobleem: APSB15-19

Prioriteit: zie onderstaande tabel

CVE-nummer: CVE-2015-5125, CVE-2015-5127, CVE-2015-5129, CVE-2015-5130, CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5541, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5550, CVE-2015-5551, CVE-2015-5552, CVE-2015-5553, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5557, CVE-2015-5558, CVE-2015-5559, CVE-2015-5560, CVE-2015-5561, CVE-2015-5562, CVE-2015-5563, CVE-2015-5564, CVE-2015-5565, CVE-2015-5566, CVE-2015-6682

Platform: alle platforms

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Flash Player.  Deze updates verhelpen kritieke kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle kan verkrijgen over het betreffende systeem.

Van toepassing op de volgende versies

Product Van toepassing op de volgende versies Platform
Desktopruntime van Adobe Flash Player 18.0.0.209 en eerder
 Windows en Macintosh
Adobe Flash Player Extended Support Release 13.0.0.309 en eerder Windows en Macintosh
Adobe Flash Player voor Google Chrome  18.0.0.209 en eerder Windows, Macintosh en Linux
Adobe Flash Player voor Microsoft Edge en Internet Explorer 11 18.0.0.209 en eerder Windows 10
Adobe Flash Player voor Internet Explorer 10 en 11 18.0.0.209 en eerder Windows 8.0 en 8.1
Adobe Flash Player voor Linux 11.2.202.491 en eerder Linux
AIR-desktopruntime 18.0.0.180 en eerder Windows en Macintosh
AIR SDK 18.0.0.180 en eerder Windows, Macintosh, Android en iOS
AIR SDK & Compiler 18.0.0.180 en eerder Windows, Macintosh, Android en iOS
  • Als u wilt verifiëren welk versienummer het Adobe Flash Player-exemplaar heeft dat op uw computer is geïnstalleerd, opent u de pagina About Flash Player of klikt u met de rechtermuisknop op inhoud die in Flash Player wordt afgespeeld en selecteert u 'Informatie over Adobe (of Macromedia) Flash Player' in het menu. Als u meerdere browsers gebruikt, voert u deze controle uit voor elke browser die op uw systeem is geïnstalleerd.  
  • Als u het versienummer wilt verifiëren van het Adobe AIR-exemplaar dat op uw computer is geïnstalleerd, opent u het technische artikel van Adobe AIR voor instructies. 

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product Bijgewerkte versies Platform Beschikbaarheid
Desktopruntime van Adobe Flash Player
 18.0.0.232 Windows en Macintosh
 1 Flash Player Download Center  Flash Player-distributie
Adobe Flash Player Extended Support Release [2] 18.0.0.232 Windows en Macintosh
 1 Uitgebreide ondersteuning
Adobe Flash Player voor Google Chrome 18.0.0.232 Windows en Macintosh   1 Google Chrome-releases
Adobe Flash Player voor Google Chrome 18.0.0.233 Linux en Chrome OS 3 Google Chrome-releases
Adobe Flash Player voor Microsoft Edge en Internet Explorer 11 18.0.0.232 Windows 10 1 Microsoft-beveiligingsadvies
Adobe Flash Player voor Internet Explorer 10 en 11 18.0.0.232 Windows 8.0 en 8.1
 1 Microsoft-beveiligingsadvies
Adobe Flash Player voor Linux 11.2.202.508 Linux 3 Flash Player Download Center
AIR-desktopruntime 18.0.0.199 Windows en Macintosh 3 AIR Download Center
AIR SDK 18.0.0.199 Windows, Macintosh, Android en iOS 3 AIR SDK-download
AIR SDK & Compiler 18.0.0.199 Windows, Macintosh, Android en iOS 3 AIR SDK-download
  • Adobe raadt gebruikers van de desktopruntime van Adobe Flash Player voor Windows en Macintosh aan een update uit te voeren naar Adobe Flash Player 18.0.0.232 door naar het Adobe Flash Player Download Center te gaan. Gebruikers kunnen ook het updatemechanisme in het product zelf gebruiken wanneer hierover een melding verschijnt [1].
  • Adobe raadt gebruikers van de Adobe Flash Player Extended Support Release [2] (ESR; release met uitgebreide ondersteuning) aan een update uit te voeren naar versie 18.0.0.232 door naar http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html te gaan.
  • Adobe raadt gebruikers van Adobe Flash Player voor Linux aan een update uit te voeren naar Adobe Flash Player 11.2.202.508 door naar het Adobe Flash Player Download Center te gaan. 
  • De versie van Adobe Flash Player die wordt geïnstalleerd met Google Chrome, wordt automatisch bijgewerkt naar de nieuwste Google Chrome-versie, die Adobe Flash Player 18.0.0.232 voor Windows en Macintosh en versie 18.0.0.233 voor Linux en Chrome OS bevat.
  • De versie van Adobe Flash Player die wordt geïnstalleerd met Microsoft Edge voor Windows 10, wordt automatisch bijgewerkt naar de nieuwste versie, die Adobe Flash Player 18.0.0.232 bevat.
  • De versie van Adobe Flash Player die wordt geïnstalleerd met Internet Explorer 10 en 11 voor Windows 8.0 en 8.1, wordt automatisch bijgewerkt naar de nieuwste versie, die Adobe Flash Player 18.0.0.232 bevat.
  • Adobe raadt gebruikers van de AIR-desktopruntime, AIR SDK en AIR SDK & Compiler aan een update uit voeren naar versie 18.0.0.199 door naar het AIR Download Center of het AIR Developer Center te gaan. 
  • Ga naar de pagina Flash Player Help voor hulp bij het installeren van Flash Player.
 
[1] Gebruikers van Flash Player 11.2.x of hoger voor Windows of Flash Player 11.3.x of hoger voor Macintosh die de optie 'Adobe toestaan updates te installeren' hebben ingeschakeld, ontvangen de update automatisch. Gebruikers die de optie “Adobe toestaan updates te installeren” niet hebben ingeschakeld, kunnen de update installeren door het mechanisme voor automatische updates in het product te gebruiken wanneer hierover een melding verschijnt.
 
[2] Opmerking: Vanaf 11 augustus 2015 voert Adobe een update uit voor de 'Extended Support Release' van Flash Player 13 naar Flash Player 18 voor Macintosh en Windows. Gebruikers die up-to-date willen blijven met alle beschikbare beveiligingsupdates, moeten versie 18 van de Flash Player Extended Support Release of een update uitvoeren naar de nieuwste versie die beschikbaar is. Lees voor alle informatie hierover dit blogbericht: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Details van kwetsbaarheid

  • Deze updates verhelpen kwetsbaarheden voor niet-compatibele typen die tot code-uitvoering kunnen leiden (CVE-2015-5554, CVE-2015-5555, CVE-2015-5558, CVE-2015-5562).
  • Deze updates bieden aanvullende beveiliging voor een risicobeperking die in versie 18.0.0.209 is geïntroduceerd als bescherming tegen beschadiging van vectorlengten (vector length corruptions) (CVE-2015-5125).
  • Deze updates verhelpen 'use-after-free'-kwetsbaarheden die tot code-uitvoering kunnen leiden (CVE-2015-5550, CVE-2015-5551, CVE-2015-5556, CVE-2015-5130, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5557, CVE-2015-5559, CVE-2015-5127, CVE-2015-5563, CVE-2015-5561, CVE-2015-5564, CVE-2015-5565, CVE-2015-5566, CVE-2015-6682).
  • Deze updates verhelpen kwetsbaarheden voor heapbufferoverloop die tot code-uitvoering kunnen leiden (CVE-2015-5129, CVE-2015-5541).
  • Deze updates verhelpen kwetsbaarheden voor heapbufferoverloop die tot code-uitvoering kunnen leiden (CVE-2015-5131, CVE-2015-5132, CVE-2015-5133).
  • Deze updates verhelpen kwetsbaarheden voor geheugenbeschadiging die tot code-uitvoering kunnen leiden (CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5552, CVE-2015-5553).
  • Deze updates verhelpen een kwetsbaarheid met betrekking tot integeroverloop die tot code-uitvoering kan leiden (CVE-2015-5560).

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun inspanningen om samen met Adobe onze klanten te beschermen: 

  • Kai Lu van FortiGuard Labs van Fortinet (CVE-2015-5129)
  • Chris Evans, Ben Hawkes en Mateusz Jurczyk van Google Project Zero (CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548)
  • Wang Wei van het beveiligingsonderzoeksteam van Alibaba (CVE-2015-5566)
  • Natalie Silvanovich van Google Project Zero (CVE-2015-5550, CVE-2015-5551, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5557, CVE-2015-5558, CVE-2015-5562, CVE-2015-5560, CVE-2015-5564, CVE-2015-5565)
  • Chris Evans van Google Project Zero (CVE-2015-5549, CVE-2015-5125)
  • bilou, die werkt met het Chromium Vulnerability Rewards Program (CVE-2015-5563, CVE-2015-5561, CVE-2015-5130, CVE-2015-5127)
  • Yuki Chen van het Qihoo 360 Vulcan-team (CVE-2015-5552, CVE-2015-5553, CVE-2015-5559)
  • instruder van het beveiligingsonderzoeksteam van Alibaba (CVE-2015-5541)
  • Peter Pi van TrendMicro (CVE-2015-6682)

 

Revisies

11 augustus 2015: De tabel Van toepassing op de volgende versies is bijgewerkt met Adobe Flash Player voor Microsoft Edge en Internet Explorer 11 in Windows 10.  Ook is een verwijzing naar CVE-2015-5564 toegevoegd die onbedoeld was weggelaten uit het bulletin.     

12 augustus 2015: Verwijzing toegevoegd naar CVE-2015-5565, een 'use-after-free'-kwetsbaarheid die vergelijkbaar is met CVE-2015-3107.  Een oplossing voor CVE-2015-3107 is geïntroduceerd in APSB15-11 en is verder verbeterd in APSB15-19.  Ook is CVE-2015-5128 (eerder beoordeeld als een kwetsbaarheid voor niet-compatibele typen en nu opnieuw geclassificeerd als een crash door een null-pointeruitzondering die niet kan worden gebruikt voor aanvallen) verwijderd.

20 augustus 2015: CVE-2015-5124 vervangen door CVE-2015-5566.  CVE-2015-5124 is opgelost in APSB15-16 en onjuist opnieuw gebruikt in APSB15-19. 

2 september 2015: een verwijzing naar CVE-2015-6682 toegevoegd, een 'use-after-free'-kwetsbaarheid opgelost in deze release maar onbedoeld niet opgenomen in het bulletin.