Adobe – sikkerhetsbulletin

Utgivelsesdato: 8. juli 2015

Sist oppdatert: 17. juli 2015

Sikkerhetsproblemidentifikator: APSB15-16

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Plattform: Alle plattformer

Adobe har lansert sikkerhetsoppdateringer for Adobe Flash Player for Windows, Macintosh og Linux. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet. Adobe er klar over en rapport om at et sikkerhetsproblem som som utnytter CVE-2015-5119 er publisert offentlig. 

• Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "About Adobe (eller Macromedia) Flash Player" i menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.  
• Kontroller hvilken Adobe AIR-versjon som er installert på systemet, ved å følge instruksjonene i Adobe AIR TechNote. 

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

• Adobe anbefaler brukere av Adobe Flash Player Desktop Runtime for Windows og Macintosh å oppdatere til Adobe Flash Player 18.0.0.203, ved å gå til nedlastingssenteret for Adobe Flash Player, eller via oppdateringsmekanismen i produktet når det blir bedt om det [1].
• Adobe anbefaler brukere av Adobe Flash Player Extended Support Release [2] å oppdatere til versjon 13.0.0.302 ved å gå til http://helpx.adobe.com/no/flash-player/kb/archived-flash-player-versions.html.
• Adobe anbefaler brukere av Adobe Flash Player for Linux å oppdatere til Adobe Flash Player 11.2.202.481 ved å gå til nedlastingssenteret for Adobe Flash Player.
• Adobe Flash Player som er installert sammen med Google Chrome, oppdateres automatisk til den nyeste Google Chrome-versjonen, som vil omfatte Adobe Flash Player 18.0.0.203 på Windows og Macintosh, og Flash Player 18.0.0.204 på Linux.
• Adobe Flash Player installert sammen med Internet Explorer 8 blir automatisk oppdatert til den nyeste Internet Explorer-versjonen, som vil omfatte Adobe Flash Player 18.0.0.203.
• Gå til siden Hjelp for Flash Player for hjelp til installasjon av Flash Player.

• Disse oppdateringene forbedrer randomisering av minneadresse for Flash-heapen for Window 7 64-bitersplattformen (CVE-2015-3097).
• Disse oppdateringene løser sikkerhetsproblemer med heap-bufferoverflyt som kan føre til kjøring av kode (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
• Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
• Disse oppdateringene løser dereferanseproblemer med nullpeker (CVE-2015-3126, CVE-2015-4429).
• Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-3114).
• Disse oppdateringene løser type confusion-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
• Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
• Disse oppdateringene løser et sikkerhetsproblem som kan utnyttes til å omgå policyen for samme opprinnelse føre til avsløring av informasjon (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).
  

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

• Ben Hawkes fra Google Project Zero (CVE-2015-4430)
• bilou i samarbeid med Chromium Vulnerability Rewards Program (CVE-2015-3118, CVE-2015-3128)
• Chris Evans fra Google Project Zero (CVE-2015-3097, CVE-2015-5118)
• Chris Evans, Ben Hawkes, Mateusz Jurczyk fra Google Project Zero (CVE-2015-4432)
• David Kraftsow (dontsave) i samarbeid med HPs Zero Day Initiative (CVE-2015-3125)
• instruder fra Alibaba Security Threat Information (CVE-2015-3133)
• Kai Kang fra Tencent's Xuanwu Lab (CVE-2015-4429, CVE-2015-5124)
• Kai Lu fra Fortinet's FortiGuard Labs (CVE-2015-3117)
• Jihui Lu fra KEEN Team (CVE-2015-3124)
• Malte Batram (CVE-2015-3115, CVE-2015-3116)
• Mateusz Jurczyk fra Google Project Zero (CVE-2015-3123)
• Natalie Silvanovich fra Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
• Soroush Dalili fra NCC Group (CVE-2015-3114, CVE-2014-0578)
• willJ fra Tencent PC Manager (CVE-2015-3126)
• Yuki Chen fra Qihoo 360 Vulcan Team (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
• Zręczny Gamoń (CVE-2015-5116)
• Google Project Zero og Morgan Marquis-Boire (CVE-2015-5119)
  

17. juli 2015: Oppdatert til å inkludere en tilleggs-CVE (CVE-2015-5124) som er løst i disse oppdateringene, men som utilsiktet ble utelatt fra bulletinen.