Adobe – sikkerhetsbulletin

Utgivelsesdato: 14. april 2015

Sist oppdatert: 11. august 2015

Sikkerhetsproblemidentifikator: APSB15-06

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2015-0346, CVE-2015-0347, CVE-2015-0348, CVE-2015-0349, CVE-2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Plattform: alle plattformer

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.  

Adobe er klar over en rapport om at det finnes et sikkerhetsproblem for CVE-2015-3043 og anbefaler brukere å oppdatere produktinstallasjonene til de nyeste versjonene:

• Brukere av Adobe Flash Player desktop runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 17.0.0.169. 
• Brukere av Adobe Flash Player Extended Support Release bør oppdatere til Adobe Flash Player 13.0.0.281. 
• Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.457. 
• Adobe Flash Player som er installert med Google Chrome og Internet Explorer for Windows 8.x, oppdateres automatisk til versjon 17.0.0.169 når tilgjengelig. 
• Brukere av Adobe AIR desktop runtime bør oppdatere til Adobe AIR 17.0.0.172.
• Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til Adobe AIR 17.0.0.172.

• Adobe Flash Player 17.0.0.134 og tidligere versjoner
• Adobe Flash Player 13.0.0.277 og tidligere 13.x-versjoner
• Adobe Flash Player 11.2.202.451 og tidligere 11.x-versjoner
• AIR Desktop Runtime 17.0.0.144 og tidligere versjoner
• AIR SDK og SDK & Compiler 17.0.0.144 og tidligere versjoner

Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "About Adobe (eller Macromedia) Flash Player" på menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.

Kontroller hvilken Adobe AIR-versjon som er installert på systemet, ved å følge instruksjonene i det tekniske dokumentet for Adobe AIR.

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor: 

• Adobe anbefaler brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh å oppdatere til Adobe Flash Player 17.0.0.169, som kan lastes ned fra nedlastingssenteret for Adobe Flash Player, eller via oppdateringsmekanismen i produktet når de blir bedt om det.

• Adobe anbefaler brukere av Adobe Flash Player Extended Support Release å oppdatere til versjon 13.0.0.281 ved å gå til http://helpx.adobe.com/no/flash-player/kb/archived-flash-player-versions.html.

• Adobe anbefaler brukere av Adobe Flash Player for Linux å oppdatere til Adobe Flash Player 11.2.202.457 ved å gå til _noAdobe Flash Player Download Center.

• Adobe Flash Player installert sammen med Google Chrome blir automatisk oppdatert til den nyeste Google Chrome-versjonen, som vil omfatte Adobe Flash Player 17.0.0.169. 

• Adobe Flash Player installert sammen med Internet Explorer 8 blir automatisk oppdatert til den nyeste Internet Explorer-versjonen når tilgjengelig, som vil omfatte Adobe Flash Player 17.0.0.169.

• Adobe anbefaler brukere av Adobe AIR desktop runtime å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR  

• Adobe anbefaler brukere av Adobe AIR SDK å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR  

• Adobe anbefaler brukere av Adobe AIR SDK & Compiler å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Disse oppdateringene løser kritiske sikkerhetsproblemer i programvaren.

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet. 

Adobe er klar over en rapport om at det finnes et sikkerhetsproblem for CVE-2015-3043 og anbefaler brukere å oppdatere produktinstallasjonene til de nyeste versjonene:

• Brukere av Adobe Flash Player desktop runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 17.0.0.169.

• Brukere av Adobe Flash Player Extended Support Release bør oppdatere til Adobe Flash Player 13.0.0.281.

• Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.457.

• Adobe Flash Player som er installert med Google Chrome og Internet Explorer for Windows 8.x, oppdateres automatisk til versjon 17.0.0.169 når tilgjengelig.

• Brukere av Adobe AIR desktop runtime bør oppdatere til Adobe AIR 17.0.0.172.

• Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til Adobe AIR 17.0.0.172.

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Disse oppdateringene løser et misforståelsesproblem som kan føre til kjøring av kode (CVE-2015-0356). 

Disse oppdateringene løser et problem med bufferoverflyt som kan føre til kjøring av kode (CVE-2015-0348). 

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Disse oppdateringene løser et double free-sikkerhetsproblem som kan føre til kjøring av kode (CVE-2015-0346, CVE-2015-0359). 

Disse oppdateringene løser et sikkerhetsproblem med minnelekkasje som kan brukes til å omgå ASLR (CVE-2015-0357, CVE-2015-3040).  

Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-3044). 

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

• Anonym (CVE-2015-3043)

• bilou i samarbeid med Chromium Vulnerability Rewards Program (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  

• Chris Evans fra Google Project Zero (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360)

• instruder fra Alibaba Security Research Team (CVE-2015-3038)

• Jihui Lu fra KeenTeam (@K33nTeam) i samarbeid med Chromium Vulnerability Reward Program (CVE-2015-0351, CVE-2015-3040, CVE-2015-3041)

• Jouko Pynnönen fra Klikki Oy (CVE-2015-0346, CVE-2015-3044)

• Michele Spagnuolo fra Google Security Team, og Mark Brand fra Google Project Zero (CVE-2015-3042)

• Natalie Silvanovich i samarbeid med  Google Project Zero (CVE-2015-0356)

• Natalie Silvanovich i samarbeid med Google Project Zero, og bilou i samarbeid med HPs Zero Day Initiative (CVE-2015-3039)

• Nicolas Joly i samarbeid med HPs Zero Day Initiative (CVE-2015-0349)

• Steven Vittitoe fra Google Project Zero (CVE-2015-0350)

• s3tm3m i samarbeid med HPs Zero Day Initiative (CVE-2015-0347)

12. mai 2015: Lagt til versjoner av Adobe AIR som løser CVE-ene som refereres i denne bulletinen. 

3. juli 2015: Lagt til anerkjennelse av bilou og samarbeid med med HPs Zero Day Initiative for separat rapportering av CVE-2015-3039.