Sikkerhetsoppdateringer tilgjengelig for Adobe Flash Player

Utgivelsesdato: 9. juni 2015

Sist oppdatert: 3. juli 2015

Sikkerhetsproblemidentifikator: APSB15-11

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108, CVE-2015-5120

Plattform: alle plattformer

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 18.0.0.160.
  • Brukere av Adobe Flash Player Extended Support Release for Windows og Macintosh bør oppdatere til Adobe Flash Player 13.0.0.292. *
  • Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.466.
  • Adobe Flash Player som er installert med Google Chrome, oppdateres automatisk til versjon 18.0.0.160 (Windows og Linux) og 18.0.0.161 (Macintosh). 
  • Adobe Flash Player som er installert med Internet Explorer på Windows 8.x, oppdateres automatisk til versjon 18.0.0.160.
  • Brukere av Adobe AIR Desktop Runtime bør oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows).
  • Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows). 
  • Brukere av Adobe AIR for Android bør oppdatere til versjon 18.0.0.143. 

Berørte programversjoner

  • Adobe Flash Player 17.0.0.188 og tidligere versjoner for Windows og Macintosh
  • Adobe Flash Player Extended Support Release 13.0.0.289 og tidligere 13.x-versjoner for Windows og Macintosh
  • Adobe Flash Player 11.2.202.460 og tidligere 11.x-versjoner for Linux
  • Adobe AIR Desktop Runtime 17.0.0.172 og tidligere versjoner for Windows og Macintosh
  • Adobe AIR SDK and SDK & Compiler 17.0.0.172 og tidligere versjoner for Windows og Macintosh
  • Adobe AIR for Android 17.0.0.144 og tidligere versjoner

Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "About Adobe (eller Macromedia) Flash Player" i menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.

Kontroller hvilken Adobe AIR-versjon som er installert på systemet, ved å følge instruksjonene i Adobe AIR TechNote.

Løsning

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor:

  • Adobe anbefaler brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh å oppdatere til Adobe Flash Player 18.0.0.160, ved å gå til nedlastingssenteret for Adobe Flash Player, eller via oppdateringsmekanismen i produktet når det blir bedt om det.
  • Adobe anbefaler brukere av Adobe Flash Player Extended Support Release å oppdatere til versjon 13.0.0.292 ved å gå til http://helpx.adobe.com/no/flash-player/kb/archived-flash-player-versions.html.*
  • Adobe anbefaler brukere av Adobe Flash Player for Linux å oppdatere til Adobe Flash Player 11.2.202.466 ved å gå til nedlastingssenteret for Adobe Flash Player.
  • Adobe Flash Player som er installert sammen med Google Chrome, oppdateres automatisk til den nyeste Google Chrome-versjonen, som vil omfatte Adobe Flash Player 18.0.0.160 (Windows og Linux) og 18.0.0.161 (Macintosh).
  • Adobe Flash Player installert sammen med Internet Explorer 8 blir automatisk oppdatert til den nyeste Internet Explorer-versjonen, som vil omfatte Adobe Flash Player 18.0.0.160.
  • Adobe anbefaler brukere av Adobe AIR Desktop Runtime å oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows) ved å gå til nedlastingssenteret for Adobe AIR.
  • Adobe anbefaler brukere av Adobe AIR SDK and AIR SDK & Compiler å oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows) ved å gå til nedlastingssenteret for Adobe AIR.
  • Adobe anbefaler brukere av Adobe AIR for Android å oppdatere til versjon 18.0.0.143 ved å laste ned den nyeste versjonen fra Google Play-butikken.

*Merk: Fra og med 11. august 11 vil Adobe oppdatere versjonen av Extended Support Release fra Flash Player 13 til Flash Player 18 for Macintosh og Windows.  For å holde seg oppdaterte med alle tilgjengelige sikkerhetsoppdateringer må brukere installere versjon 18 av Flash Player Extended Support Release, eller oppdatere til den nyeste versjonen som er tilgjengelig. Hvis du vil ha mer informasjon, kan du se dette blogginnlegget.

Klassifiseringer for prioritet og alvorlighetsgrad

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Berørte versjoner Plattform Prioritet klassifisering
Adobe Flash Player Desktop Runtime 17.0.0.188 og eldre versjoner
Windows og Macintosh
1
Adobe Flash Player Extended Support Release 13.0.0.289 og eldre versjoner Windows og Macintosh
1
Adobe Flash Player for Google Chrome  17.0.0.188 og eldre versjoner Windows, Macintosh og Linux
1
Adobe Flash Player for Internet Explorer 10 og Internet Explorer 11 17.0.0.188 og eldre versjoner Windows 8.0 og 8.1 1
Adobe Flash Player 11.2.202.460 og eldre versjoner Linux 3
AIR Desktop Runtime 17.0.0.172 og eldre versjoner Windows og Macintosh  3
AIR SDK 17.0.0.172 og eldre versjoner Windows, Macintosh, Android og iOS  3
AIR SDK & Compiler 17.0.0.172 og eldre versjoner Windows, Macintosh, Android og iOS  3
AIR for Android 17.0.0.144 og eldre versjoner Android 3

Disse oppdateringene løser kritiske sikkerhetsproblemer i programvaren.

Detaljer

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux.  Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene: 

  • Brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh bør oppdatere til Adobe Flash Player 18.0.0.160. 
  • Brukere av Adobe Flash Player Extended Support Release for Windows og Macintosh bør oppdatere til Adobe Flash Player 13.0.0.292. 
  • Brukere av Adobe Flash Player for Linux bør oppdatere til Adobe Flash Player 11.2.202.466. 
  • Adobe Flash Player som er installert med Google Chrome, oppdateres automatisk til versjon 18.0.0.160 (Windows og Linux) og 18.0.0.161 (Macintosh).  
  • Adobe Flash Player som er installert med Internet Explorer på Windows 8.x, oppdateres automatisk til versjon 18.0.0.160. 
  • Brukere av Adobe AIR Desktop Runtime bør oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows). 
  • Brukere av Adobe AIR SDK og AIR SDK & Compiler bør oppdatere til versjon 18.0.0.143 (Macintosh) og 18.0.0.144 (Windows).  
  • Brukere av Adobe AIR for Android bør oppdatere til versjon 18.0.0.143.

Disse oppdateringene løser et sikkerhetsproblem (CVE-2015-3096) som kan utnyttes til å omgå reparasjonen for CVE-2014-5333. 

Disse oppdateringene forbedrer randomisering av minneadresse for Flash-heapen for Window 7 64-bitersplattformen (CVE-2015-3097). 

Disse oppdateringene løser et sikkerhetsproblem som kan utnyttes til å omgå policyen for samme opprinnelse føre til avsløring av informasjon (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).  

Disse oppdateringene løser et problem med stakkoverflyt som kan føre til kjøring av kode (CVE-2015-3100).

Disse oppdateringene løser et problem med sikkerhetstillatelser i Flash-mekleren for Internet Explorer som kan utnyttes til å utføre rettighetsutvidelse fra lav til middels integritetsnivå (CVE-2015-3101).    

Disse oppdateringene løser et problem med heltallsoverflyt som kan føre til kjøring av kode (CVE-2015-3104).

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-3105, CVE-2015-5120).

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107).

Disse oppdateringene løser et sikkerhetsproblem med minnelekkasje som kan brukes til å omgå ASLR (CVE-2015-3108). 

Berørte programmer   Anbefalt Player-oppdatering Tilgjengelighet
Flash Player Desktop Runtime
  18.0.0.160

Nedlastingssenter for Flash Player

Flash Player Distribution

Adobe Flash Player Extended Support Release   13.0.0.292 Extended Support
Flash Player for Linux   11.2.202.466 Nedlastingssenter for Flash Player
Flash Player for Google Chrome  

18.0.0.160 (Windows og Linux)

18.0.0.161 (Macintosh)

Google Chrome-lanseringer
Flash Player for Internet Explorer 10 og Internet Explorer 11   18.0.0.160
Microsoft Security Advisory
AIR Desktop Runtime  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

AIR-nedlastingssenter
AIR SDK  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Nedlasting av AIR-programutviklingspakke
AIR SDK & Compiler  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Nedlasting av AIR-programutviklingspakke
AIR for Android   18.0.0.143 Google Play

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • bilou i samarbeid med Chromium Vulnerability Rewards program (CVE-2015-3106)
  • Chris Evans fra Googles Project Zero (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105, CVE-2015-3108)
  • Haifei Li fra McAfee Labs IPS Team (CVE-2015-3100) 
  • 李普君 (Pujun Li) / PKAV team (pkav.net) (CVE-2015-3102)
  • Malte Batram (CVE-2015-3098, CVE-2015-3099)  
  • Natalie Silvanovich fra Google Project Zero (CVE-2015-3107)
  • Tomas Polesovsky (CVE-2015-3096) 
  • Wen Guanxing fra Venustech ADLAB (CVE-2015-3103)
  • Linan Hao fra Qihoo 360Vulcan Team (CVE-2015-5120)

Revisjoner

3. juli 2015: Lagt til referanse til CVE-2015-5120, som ble løst i disse oppdateringene, men som utilsiktet ble utelatt fra bulletinen.