Adobe Flash Player 的可用安全性更新

發佈日期:2015 年 7 月 8 日

上次更新日期: 2015 年 7 月 17 日

弱點識別碼: APSB15-16

優先順序: 請參閱下表

CVE 編號: CVE-2014-0578、CVE-2015-3097、CVE-2015-3114、CVE-2015-3115、CVE-2015-3116、CVE-2015-3117、CVE-2015-3118、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-3123、CVE-2015-3124、CVE-2015-3125、CVE-2015-3126、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3130、CVE-2015-3131、CVE-2015-3132、CVE-2015-3133、CVE-2015-3134、CVE-2015-3135、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4429、CVE-2015-4430、CVE-2015-4431、CVE-2015-4432、CVE-2015-4433、CVE-2015-5116、CVE-2015-5117、CVE-2015-5118、CVE-2015-5119、CVE-2015-5124

平台: 所有平台

摘要

Adobe 已發佈適用於 Windows、Macintosh 及 Linux 的 Adobe Flash Player 安全性更新。這些更新可解決重大弱點,防止其可能允許攻擊者控制受的影響系統。Adobe 已得知鎖定 CVE-2015-5119 的入侵程式已公開發佈的報告。

受影響的版本

產品 受影響的版本 平台
Adobe Flash Player 桌面執行階段 18.0.0.194 及舊版
Windows 與 Macintosh
Adobe Flash Player 延伸支援版本 13.0.0.296 及舊版 Windows 與 Macintosh
適用於 Google Chrome 的 Adobe Flash Player  18.0.0.194 及舊版 Windows、Macintosh 和 Linux
Internet Explorer 10 和 Internet Explorer 11 適用的 Adobe Flash Player 18.0.0.194 及舊版 Windows 8.0 和 8.1
Adobe Flash Player 11.2.202.468 及舊版 Linux
AIR 桌面執行階段 18.0.0.144 及舊版 Windows 與 Macintosh
AIR SDK 18.0.0.144 及舊版 Windows、Macintosh、Android 和 iOS
AIR SDK & Compiler 18.0.0.144 及舊版 Windows、Macintosh、Android 和 iOS
  • 若要確認您的系統所安裝的 Adobe Flash Player 版本,請進入關於 Flash Player 頁面,或是在 Flash Player 中執行的內容上按一下滑鼠右鍵,然後從選單選擇「關於 Adobe (或 Macromedia) Flash Player」。如果您使用多種瀏覽器,請對安裝在系統中的每個瀏覽器均進行檢查。
  • 若要確認您系統上安裝的 Adobe AIR 版本,請依照 Adobe AIR 技術說明中的指示執行。

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 更新版本 平台 優先順序
上市情況
Flash Player 桌面執行階段
18.0.0.203 Windows 與 Macintosh
1 Flash Player 下載中心  Flash Player 分發
Flash Player 延伸支援版本 13.0.0.302 Windows 與 Macintosh
1 延伸支援
Linux 適用的 Flash Player 11.2.202.481 Linux 3 Flash Player 下載中心
適用於 Google Chrome 的 Flash Player 18.0.0.203  Windows 與 Macintosh    1 Google Chrome 發行版本
適用於 Google Chrome 的 Flash Player 18.0.0.204 Linux 3 Google Chrome 發行版本
Internet Explorer 10 和 Internet Explorer 11 適用的 Flash Player 18.0.0.203 Windows 8.0 和 8.1
1 Microsoft 安全性公告
AIR 桌面執行階段 18.0.0.180 Windows 與 Macintosh 3 AIR 下載中心
AIR SDK 18.0.0.180 Windows、Macintosh、Android 和 iOS 3 AIR SDK 下載
AIR SDK & Compiler 18.0.0.180 Windows、Macintosh、Android 和 iOS 3 AIR SDK 下載
  • Adobe 建議使用 Windows 和 Macintosh 專用 Adobe Flash Player 桌面執行階段的使用者前往 Adobe Flash Player 下載中心更新至 Adobe Flash Player 18.0.0.203,或是透過產品本身的更新機制,依照提示 [1] 安裝更新。
  • Adobe 建議 Adobe Flash Player 延伸支援版本 [2] 的使用者前往 http://helpx.adobe.com/tw/flash-player/kb/archived-flash-player-versions.html 更新至 13.0.0.302 版本。
  • Adobe 建議使用適用於 Linux 的 Adobe Flash Player 使用者前往 Adobe Flash Player 下載中心更新至 Adobe Flash Player 11.2.202.481。
  • 隨 Google Chrome 安裝的 Adobe Flash Player 將會自動更新為最新的 Google Chrome 版本,其中包含 Windows 及 Macintosh 專用的 Adobe Flash Player 18.0.0.203 與 Linux 專用的 18.0.0.204。
  • 隨 Windows 8.x 版 Internet Explorer 安裝的 Adobe Flash Player 會自動更新至最新的版本,其中包含 Adobe Flash Player 18.0.0.203。
  • 請前往 Flash Player 說明頁面,取得安裝 Flash Player 的協助。
 
[1] Windows 專用 Flash Player 11.2.x 或更高版本使用者,或是 Macintosh 專用 Flash Player 11.3.x 或更高版本使用者,若有選取「允許 Adobe 安裝更新」選項,將會自動收到更新。並未啟用「允許 Adobe 安裝更新」選項的使用者,可在提示時透過產品內的更新機制安裝更新。
 
[2] 附註:自 2015 年 8 月 11 日起,Adobe 將 Macintosh 和 Windows 上的「延伸支援版本」的版本從 Flash Player 13 更新為 Flash Player 18。為了取得最新版本與所有可用的安全性更新,使用者必須安裝 Flash Player 延伸支援版本 18 或更新至可用的最新版本。如需完整細節,請參閱此部落格文章: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

弱點詳細資料

  • 這些更新可改進 Window 7 64 位元平台專用 Flash 堆積的記憶體位址隨機配置 (CVE-2015-3097)。
  • 這些更新可解決可能導致程式碼執行的堆積緩衝區溢位弱點 (CVE-2015-3135、CVE-2015-4432、CVE-2015-5118)。
  • 這些更新能解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2015-3117、CVE-2015-3123、CVE-2015-3130、CVE-2015-3133、CVE-2015-3134、CVE-2015-4431、CVE-2015-5124)。
  • 這些更新可解決 Null 指標反參考問題 (CVE-2015-3126、CVE-2015-4429)。
  • 這些更新可解決可能導致資訊洩漏的略過安全性限制弱點 (CVE-2015-3114)。
  • 這些更新可解決可能導致程式碼執行的類別混淆弱點 (CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433)。
  • 這些更新可解決可能導致程式碼執行的釋放後繼續使用弱點 (CVE-2015-3118、CVE-2015-3124、CVE-2015-5117、CVE-2015-3127、CVE-2015-3128、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428、CVE-2015-4430、CVE-2015-5119)。
  • 這些更新可解決可能遭入侵的弱點,遭入侵後可略過相同來源原則並導致資訊洩漏 (CVE-2014-0578、CVE-2015-3115、CVE-2015-3116、CVE-2015-3125、CVE-2015-5116)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Google Project Zero 的 Ben Hawkes (CVE-2015-4430)
  • 與 Chromium 弱點獎勵計劃合作的 bilou (CVE-2015-3118、CVE-2015-3128)
  • Google Project Zero 的 Chris Evans (CVE-2015-3097、CVE-2015-5118)
  • Google Project Zero 的 Chris Evans、Ben Hawkes、Mateusz Jurczyk (CVE-2015-4432)
  • 與 HP Zero Day Initiative (零時差計劃) 合作的 David Kraftsow (dontsave) (CVE-2015-3125)
  • Alibaba Security Threat Information 的 instruder (CVE-2015-3133)
  • 騰訊玄武實驗室的 Kai Kang (CVE-2015-4429、CVE-2015-5124)
  • Kai Lu,透過 Fortinet 的 FortiGuard Labs 通報 (CVE-2015-3117)
  • KEEN Team 的 Jihui Lu (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115、CVE-2015-3116)
  • Google Project Zero 的 Mateusz Jurczyk (CVE-2015-3123)
  • Google Project Zero 的 Natalie Silvanovich (CVE-2015-3130、CVE-2015-3119、CVE-2015-3120、CVE-2015-3121、CVE-2015-3122、CVE-2015-4433、CVE-2015-5117、CVE-2015-3127、CVE-2015-3129、CVE-2015-3131、CVE-2015-3132、CVE-2015-3136、CVE-2015-3137、CVE-2015-4428)
  • NCC Group 的 Soroush Dalili (CVE-2015-3114、CVE-2014-0578)
  • Tencent PC Manager 的 willJ (CVE-2015-3126)
  • Qihoo 360 Vulcan Team 的 Yuki Chen (CVE-2015-3134、CVE-2015-3135、CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero 及 Morgan Marquis-Boire (CVE-2015-5119)

修訂

2015 年 7 月 17 日: 更新內容,新增額外的 CVE (CVE-2015-5124),其已在這些更新中解決,但未在公告中提及。