发布日期:2009 年 7 月 30 日
上次更新日期:2009 年 8 月 3 日
漏洞标识符:APSB10-09
CVE 编号:CVE-2009-1862、CVE-2009-0901、CVE-2009-2495、CVE-2009-2493、CVE-2009-1863、CVE-2009-1864、CVE-2009-1865、CVE-2009-1866、CVE-2009-1867、CVE-2009-1868、CVE-2009-1869、CVE-2009-1870
平台:所有平台
Windows、Macintosh、Linux 和 Solaris 操作系统版的最新版 Adobe Flash Player(v9.0.159.0 和 v10.0.22.87)以及 Windows、Macintosh 和 UNIX 操作系统版的 Adobe Reader 和 Acrobat v9.x 随附的 authplay.dll 组件中发现一些严重漏洞。这些漏洞会导致应用程序崩溃,并且可能允许攻击者控制受影响的系统。
Adobe 建议 Adobe Flash Player 9.x 和 10.x 以及更早版本的用户更新到 Adobe Flash Player 9.0.246.0 和 10.0.32.18。Adobe 建议 Adobe AIR 版本 1.5.1 和更早版本的用户更新到 Adobe AIR 1.5.2。Adobe 建议 Adobe Reader 9 和 Acrobat 9 以及更早版本的用户更新到 Adobe Reader 9.1.3 和 Acrobat 9.1.3。
注意:鉴于此次非定期 Adobe Reader 和 Acrobat 更新,Adobe 将于 10 月 13 日(周二)推出 Adobe Reader 和 Acrobat 的下一个季度安全更新。
Adobe Flash Player 9.0.159.0、10.0.22.87 以及更早的 9.x 和 10.x 版本
要验证 Adobe Flash Player 版本号,请访问“关于 Flash Player”页或右键单击 Flash 内容并从菜单中选择“关于 Adobe(或 Macromedia)Flash Player”。如果使用多个浏览器,请检查系统中已安装的各个浏览器。
Adobe AIR 1.5.1 和更早版本
Adobe Reader、Acrobat 9.1.2 以及更早的 9.x 版本
Adobe Flash Player
Adobe 建议 Adobe Flash Player 10.0.22.87 和更早版本的所有用户升级到最新版本 10.0.32.18,方法是从播放器下载中心下载该版本或在提示时使用产品中的自动更新机制。
对于无法更新到 Adobe Flash Player 10 的用户,Adobe 开发了一个修补版的 Adobe Flash Player 9,即 Adobe Flash Player 9.0.246.0,可从以下链接下载它:http://www.adobe.com/support/flashplayer/downloads.html#fp9*。
Adobe AIR
Adobe 建议 Adobe AIR 版本 1.5.1 和更早版本的所有用户更新到可从 Adobe AIR 下载中心下载的最新版 1.5.2。
Adobe Reader
从 http://get.adobe.com/cn/reader/ 下载完整版 9.1 安装程序的用户在第一次启动时将获得 Adobe Updater 技术提供的 Adobe Reader 9.1.3 修补。用户还可以单击“帮助 > 检查更新”,确保安装已得到完整修补并且是最新的。用户也可以通过我们网站的“产品更新”部分手动应用 9.1.3 更新。
Windows 平台上的 Adobe Reader 可以通过以下链接找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*。
Macintosh 平台上的 Adobe Reader 可以通过以下链接找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*。
UNIX 平台上的 Adobe Reader 可以通过以下链接找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix*。
Acrobat
Windows 平台上的 Acrobat Standard 和 Pro 用户可以通过以下链接找到相应更新:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*。
Windows 平台上的 Acrobat Pro Extended 用户可以通过以下链接找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows*。
Macintosh 平台上的 Acrobat Pro 用户可以通过以下链接找到相应更新:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*。
Adobe 将它们归类为重要问题并建议受影响的用户修补其安装。
Windows、Macintosh、Linux 和 Solaris 操作系统版的最新版 Adobe Flash Player(v9.0.159.0 和 v10.0.22.87)以及 Windows、Macintosh 和 UNIX 操作系统版的 Adobe Reader 和 Acrobat v9.x 随附的 authplay.dll 组件中发现一些严重漏洞。这些漏洞会导致应用程序崩溃,并且可能允许攻击者控制受影响的系统。
Adobe 建议 Adobe Flash Player 9.x 和 10.x 以及更早版本的用户更新到 Adobe Flash Player 9.0.246.0 和 10.0.32.18。Adobe 建议 Adobe AIR 版本 1.5.1 和更早版本的用户更新到 Adobe AIR 1.5.2。Adobe 建议 Adobe Reader 9 和 Acrobat 9 以及更早版本的用户更新到 Adobe Reader 9.1.3 和 Acrobat 9.1.3。
Adobe Flash Player、Adobe AIR、Adobe Reader 和 Acrobat 的更新解决了内存受损漏洞,这个漏洞可能导致代码执行 (CVE-2009-1862)。
Adobe Flash Player 的更新解决了 Microsoft 安全建议 (973882)* 中描述的易受攻击的 Microsoft Active Template Library (ATL) 版本问题。这个漏洞可能允许成功利用这一漏洞的攻击者控制受影响的系统(CVE-2009-0901、CVE-2009-2495、CVE-2009-2493)。
Adobe Flash Player 的更新解决了权限升级漏洞,这个漏洞可能允许可访问桌面的用户获得 Macintosh 操作系统的管理权限 (CVE-2009-1863)。
Adobe Flash Player 和 Adobe AIR 的更新解决了堆溢出漏洞,这个漏洞可能导致代码执行 (CVE-2009-1864)。
Adobe Flash Player 和 Adobe AIR 的更新解决了空指针漏洞,这个漏洞可能导致代码执行 (CVE-2009-1865)。
Adobe Flash Player 和 Adobe AIR 的更新解决了堆栈溢出漏洞,这个漏洞可能导致代码执行 (CVE-2009-1866)。
Adobe Flash Player 和 Adobe AIR 的更新解决了 clickjacking 漏洞,这个漏洞可能允许攻击者诱惑 Web 浏览器用户在不知不觉中单击某个链接或对话 (CVE-2009-1867)。
Adobe Flash Player 和 Adobe AIR 的更新解决了 URL 解析堆溢出漏洞,这个漏洞可能导致代码执行 (CVE-2009-1868)。
Adobe Flash Player 和 Adobe AIR 的更新解决了整数溢出漏洞,这个漏洞可能导致代码执行 (CVE-2009-1869)。
Adobe Flash Player 和 Adobe AIR 的更新解决了本地沙箱漏洞,这个漏洞可能导致将 SWF 保存到硬盘驱动器时出现的信息公开问题 (CVE-2009-1870)。
Adobe 在此感谢下列个人和组织报告相关问题并与 Adobe 一同保护客户的安全:
2009 年 8 月 3 日-更新了公告内容:Solaris 版的 Adobe Flash Player v9 和 v10 更新可用
2009 年 7 月 31 日-更新了公告内容:Adobe Reader 和 Acrobat 更新以及正确的 Adobe Flash Player 9 下载链接
2009 年 7 月 30 日-第一次创建公告
