Sikkerhetsoppdateringer tilgjengelig for Adobe Flash Player

Utgivelsesdato: 14. april 2015

Sist oppdatert: 11. august 2015

Sikkerhetsproblemidentifikator: APSB15-06

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2015-0346, CVE-2015-0347, CVE-2015-0348, CVE-2015-0349, CVE-2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Plattform: alle plattformer

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.  

Adobe er klar over en rapport om at det finnes et sikkerhetsproblem for CVE-2015-3043 og anbefaler brukere å oppdatere produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Flash Player desktop runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 17.0.0.169. 
  • Brukere av Adobe Flash Player Extended Support Release bør oppdatere til Adobe Flash Player 13.0.0.281. 
  • Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.457. 
  • Adobe Flash Player som er installert med Google Chrome og Internet Explorer for Windows 8.x, oppdateres automatisk til versjon 17.0.0.169 når tilgjengelig. 
  • Brukere av Adobe AIR desktop runtime bør oppdatere til Adobe AIR 17.0.0.172.
  • Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til Adobe AIR 17.0.0.172.

Berørte programversjoner

  • Adobe Flash Player 17.0.0.134 og tidligere versjoner
  • Adobe Flash Player 13.0.0.277 og tidligere 13.x-versjoner
  • Adobe Flash Player 11.2.202.451 og tidligere 11.x-versjoner
  • AIR Desktop Runtime 17.0.0.144 og tidligere versjoner
  • AIR SDK og SDK & Compiler 17.0.0.144 og tidligere versjoner

Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "About Adobe (eller Macromedia) Flash Player" på menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.

Kontroller hvilken Adobe AIR-versjon som er installert på systemet, ved å følge instruksjonene i det tekniske dokumentet for Adobe AIR.

Løsning

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor: 

  • Adobe anbefaler brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh å oppdatere til Adobe Flash Player 17.0.0.169, som kan lastes ned fra nedlastingssenteret for Adobe Flash Player, eller via oppdateringsmekanismen i produktet når de blir bedt om det.

  • Adobe anbefaler brukere av Adobe Flash Player Extended Support Release å oppdatere til versjon 13.0.0.281 ved å gå til http://helpx.adobe.com/no/flash-player/kb/archived-flash-player-versions.html.

  • Adobe anbefaler brukere av Adobe Flash Player for Linux å oppdatere til Adobe Flash Player 11.2.202.457 ved å gå til _noAdobe Flash Player Download Center.

  • Adobe Flash Player installert sammen med Google Chrome blir automatisk oppdatert til den nyeste Google Chrome-versjonen, som vil omfatte Adobe Flash Player 17.0.0.169. 

  • Adobe Flash Player installert sammen med Internet Explorer 8 blir automatisk oppdatert til den nyeste Internet Explorer-versjonen når tilgjengelig, som vil omfatte Adobe Flash Player 17.0.0.169.

  • Adobe anbefaler brukere av Adobe AIR desktop runtime å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR  

  • Adobe anbefaler brukere av Adobe AIR SDK å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR  

  • Adobe anbefaler brukere av Adobe AIR SDK & Compiler å oppdatere til versjon 17.0.0.172 ved å gå til nedlastingssenteret for Adobe AIR

Klassifiseringer for prioritet og alvorlighetsgrad

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Berørte versjoner Plattform Prioritet klassifisering
Adobe Flash Player Desktop Runtime 17.0.0.134 og eldre versjoner
Windows og Macintosh
1
Adobe Flash Player Extended Support Release 13.0.0.277 og eldre versjoner Windows og Macintosh
1
Adobe Flash Player for Google Chrome  17.0.0.134 og eldre versjoner Windows, Macintosh og Linux
1
Adobe Flash Player for Internet Explorer 10 og Internet Explorer 11 17.0.0.134 og eldre versjoner Windows 8.0 og 8.1 1
Adobe Flash Player 11.2.202.451 og eldre versjoner Linux 3
AIR Desktop Runtime 17.0.0.144 og eldre versjoner Windows og Macintosh 3
AIR SDK 17.0.0.144 og eldre versjoner Windows, Macintosh, Android og iOS 3
AIR SDK & Compiler 17.0.0.144 og eldre versjoner Windows, Macintosh, Android og iOS  3

Disse oppdateringene løser kritiske sikkerhetsproblemer i programvaren.

Detaljer

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet. 

Adobe er klar over en rapport om at det finnes et sikkerhetsproblem for CVE-2015-3043 og anbefaler brukere å oppdatere produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Flash Player desktop runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 17.0.0.169.

  • Brukere av Adobe Flash Player Extended Support Release bør oppdatere til Adobe Flash Player 13.0.0.281.

  • Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.457.

  • Adobe Flash Player som er installert med Google Chrome og Internet Explorer for Windows 8.x, oppdateres automatisk til versjon 17.0.0.169 når tilgjengelig.

  • Brukere av Adobe AIR desktop runtime bør oppdatere til Adobe AIR 17.0.0.172.

  • Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til Adobe AIR 17.0.0.172.

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Disse oppdateringene løser et misforståelsesproblem som kan føre til kjøring av kode (CVE-2015-0356). 

Disse oppdateringene løser et problem med bufferoverflyt som kan føre til kjøring av kode (CVE-2015-0348). 

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Disse oppdateringene løser et double free-sikkerhetsproblem som kan føre til kjøring av kode (CVE-2015-0346, CVE-2015-0359). 

Disse oppdateringene løser et sikkerhetsproblem med minnelekkasje som kan brukes til å omgå ASLR (CVE-2015-0357, CVE-2015-3040).  

Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-3044). 

Berørte programmer   Anbefalt Player-oppdatering Tilgjengelighet
Flash Player Desktop Runtime
  17.0.0.169

Nedlastingssenter for Flash Player

Flash Player Distribution

Adobe Flash Player Extended Support Release   13.0.0.281 Extended Support
Flash Player for Linux   11.2.202.457 Nedlastingssenter for Flash Player
Flash Player for Google Chrome   17.0.0.169 Google Chrome-lanseringer
Flash Player for Internet Explorer 10 og Internet Explorer 11   17.0.0.169
Microsoft Security Advisory
AIR Desktop Runtime   17.0.0.172 AIR-nedlastingssenter
AIR SDK   17.0.0.172 Nedlasting av AIR-programutviklingspakke
AIR SDK & Compiler   17.0.0.172 Nedlasting av AIR-programutviklingspakke

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Anonym (CVE-2015-3043)
  • bilou i samarbeid med Chromium Vulnerability Rewards Program (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  
  • Chris Evans fra Google Project Zero (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360)

  • instruder fra Alibaba Security Research Team (CVE-2015-3038)

  • Jihui Lu fra KeenTeam (@K33nTeam) i samarbeid med Chromium Vulnerability Reward Program (CVE-2015-0351, CVE-2015-3040, CVE-2015-3041)

  • Jouko Pynnönen fra Klikki Oy (CVE-2015-0346, CVE-2015-3044)

  • Michele Spagnuolo fra Google Security Team, og Mark Brand fra Google Project Zero (CVE-2015-3042)

  • Natalie Silvanovich i samarbeid med  Google Project Zero (CVE-2015-0356)

  • Natalie Silvanovich i samarbeid med Google Project Zero, og bilou i samarbeid med HPs Zero Day Initiative (CVE-2015-3039)

Revisjoner

12. mai 2015: Lagt til versjoner av Adobe AIR som løser CVE-ene som refereres i denne bulletinen. 

3. juli 2015: Lagt til anerkjennelse av bilou og samarbeid med med HPs Zero Day Initiative for separat rapportering av CVE-2015-3039.