Sikkerhetsoppdateringer tilgjengelig for Adobe Flash Player

Utgivelsesdato: 8. juli 2015

Sist oppdatert: 17. juli 2015

Sikkerhetsproblemidentifikator: APSB15-16

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Plattform: Alle plattformer

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet. Adobe er klar over en rapport om at et sikkerhetsproblem som som utnytter CVE-2015-5119 er publisert offentlig. 

Berørte versjoner

Produkt Berørte versjoner Plattform
Adobe Flash Player Desktop Runtime 18.0.0.194 og eldre versjoner
Windows og Macintosh
Adobe Flash Player Extended Support Release 13.0.0.296 og eldre versjoner Windows og Macintosh
Adobe Flash Player for Google Chrome  18.0.0.194 og eldre versjoner Windows, Macintosh og Linux
Adobe Flash Player for Internet Explorer 10 og Internet Explorer 11 18.0.0.194 og eldre versjoner Windows 8.0 og 8.1
Adobe Flash Player 11.2.202.468 og eldre versjoner Linux
AIR Desktop Runtime 18.0.0.144 og eldre versjoner Windows og Macintosh
AIR SDK 18.0.0.144 og eldre versjoner Windows, Macintosh, Android og iOS
AIR SDK & Compiler 18.0.0.144 og eldre versjoner Windows, Macintosh, Android og iOS
  • Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "About Adobe (eller Macromedia) Flash Player" i menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.  
  • Kontroller hvilken Adobe AIR-versjon som er installert på systemet, ved å følge instruksjonene i Adobe AIR TechNote

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Oppdaterte versjoner Plattform Prioritet
Tilgjengelighet
Flash Player Desktop Runtime
18.0.0.203 Windows og Macintosh
1 Nedlastingssenteret for Flash Player  Distribuere Flash Player
Adobe Flash Player Extended Support Release 13.0.0.302 Windows og Macintosh
1 Extended Support
Flash Player for Linux 11.2.202.481 Linux 3 Nedlastingssenter for Flash Player
Flash Player for Google Chrome 18.0.0.203  Windows og Macintosh    1 Google Chrome-lanseringer
Flash Player for Google Chrome 18.0.0.204 Linux 3 Google Chrome-lanseringer
Flash Player for Internet Explorer 10 og Internet Explorer 11 18.0.0.203 Windows 8.0 og 8.1
1 Microsoft Security Advisory
AIR Desktop Runtime 18.0.0.180 Windows og Macintosh 3 AIR-nedlastingssenter
AIR SDK 18.0.0.180 Windows, Macintosh, Android og iOS 3 Nedlasting av AIR-programutviklingspakke
AIR SDK & Compiler 18.0.0.180 Windows, Macintosh, Android og iOS 3 Nedlasting av AIR-programutviklingspakke
  • Adobe anbefaler brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh å oppdatere til Adobe Flash Player 18.0.0.203, ved å gå til nedlastingssenteret for Adobe Flash Player, eller via oppdateringsmekanismen i produktet når det blir bedt om det [1].
  • Adobe anbefaler brukere av Adobe Flash Player Extended Support Release [2] å oppdatere til versjon 13.0.0.302 ved å gå til http://helpx.adobe.com/no/flash-player/kb/archived-flash-player-versions.html.
  • Adobe anbefaler brukere av Adobe Flash Player for Linux å oppdatere til Adobe Flash Player 11.2.202.481 ved å gå til nedlastingssenteret for Adobe Flash Player.
  • Adobe Flash Player som er installert sammen med Google Chrome, oppdateres automatisk til den nyeste Google Chrome-versjonen, som vil omfatte Adobe Flash Player 18.0.0.203 på Windows og Macintosh, og Flash Player 18.0.0.204 på Linux.
  • Adobe Flash Player installert sammen med Internet Explorer 8 blir automatisk oppdatert til den nyeste Internet Explorer-versjonen, som vil omfatte Adobe Flash Player 18.0.0.203.
  • Gå til siden Hjelp for Flash Player for hjelp til installasjon av Flash Player.
 
[1] Brukere av Flash Player 11.2.x eller nyere for Windows eller Flash Player 11.3.x eller nyere for Macintosh som har valgt alternativet "Allow Adobe to install updates", vil motta oppdateringen automatisk. Brukere som ikke har aktivert alternativet "Allow Adobe to install updates", kan installere oppdateringen når de blir bedt om det via produktets oppdateringsmekanisme.
 
[2] Merk: Fra og med 11. august 11 vil Adobe oppdatere versjonen av Extended Support Release fra Flash Player 13 til Flash Player 18 for Macintosh og Windows. For å holde seg oppdaterte med alle tilgjengelige sikkerhetsoppdateringer må brukere installere versjon 18 av Flash Player Extended Support Release, eller oppdatere til den nyeste versjonen som er tilgjengelig. Hvis du vil ha mer informasjon, kan du se dette blogginnlegget: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Mer informasjon om sikkerhetsproblemet

  • Disse oppdateringene forbedrer randomisering av minneadresse for Flash-heapen for Window 7 64-bitersplattformen (CVE-2015-3097).
  • Disse oppdateringene løser sikkerhetsproblemer med heap-bufferoverflyt som kan føre til kjøring av kode (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
  • Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
  • Disse oppdateringene løser dereferanseproblemer med nullpeker (CVE-2015-3126, CVE-2015-4429).
  • Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-3114).
  • Disse oppdateringene løser type confusion-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
  • Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
  • Disse oppdateringene løser et sikkerhetsproblem som kan utnyttes til å omgå policyen for samme opprinnelse føre til avsløring av informasjon (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Ben Hawkes fra Google Project Zero (CVE-2015-4430)
  • bilou i samarbeid med Chromium Vulnerability Rewards Program (CVE-2015-3118, CVE-2015-3128)
  • Chris Evans fra Google Project Zero (CVE-2015-3097, CVE-2015-5118)
  • Chris Evans, Ben Hawkes, Mateusz Jurczyk fra Google Project Zero (CVE-2015-4432)
  • David Kraftsow (dontsave) i samarbeid med HPs Zero Day Initiative (CVE-2015-3125)
  • instruder fra Alibaba Security Threat Information (CVE-2015-3133)
  • Kai Kang fra Tencent's Xuanwu Lab (CVE-2015-4429, CVE-2015-5124)
  • Kai Lu fra Fortinet's FortiGuard Labs (CVE-2015-3117)
  • Jihui Lu fra KEEN Team (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115, CVE-2015-3116)
  • Mateusz Jurczyk fra Google Project Zero (CVE-2015-3123)
  • Natalie Silvanovich fra Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
  • Soroush Dalili fra NCC Group (CVE-2015-3114, CVE-2014-0578)
  • willJ fra Tencent PC Manager (CVE-2015-3126)
  • Yuki Chen fra Qihoo 360 Vulcan Team (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero og Morgan Marquis-Boire (CVE-2015-5119)

Revisjoner

17. juli 2015: Oppdatert til å inkludere en tilleggs-CVE (CVE-2015-5124) som er løst i disse oppdateringene, men som utilsiktet ble utelatt fra bulletinen.