Utgivelsesdato: 10. juli 2007
Sikkerhetsbruddidentifikator: APSB07-12
CVE-nummer: CVE-2007-3456, CVE-2007-3457, CVE-2007-2022
Plattform: Alle plattformer
Kritiske sikkerhetsbrudd er blitt identifisert i Adobe Flash Player – de kan utnyttes av en angriper til å ta kontroll over det berørte systemet. En ondsinnet SWF-fil må være lastet i Flash Player av sluttbrukeren for at en angriper skal kunne utnytte disse potensielle sikkerhetsbruddene. Det anbefales at brukerne oppdaterer til den siste versjonen av Flash Player som er tilgjengelig for deres plattform.
Adobe Flash Player 9.0.45.0 og tidligere versjoner, 8.0.34.0 og tidligere versjoner, samt 7.0.69.0 og tidligere versjoner.
Du sjekker Flash Player-versjonsnummeret ved å gå til siden About Flash Player eller høyreklikke på Flash content og velge “About (or Macromedia) Macromedia Flash Player” i menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.
Adobe anbefaler at alle brukere av Adobe Flash Player 9.0.45.0 og tidligere versjoner oppgraderer til den nyeste versjonen 9.0.47.0 (Win, Mac, Solaris) eller 9.0.48.0 (Linux) ved å laste den ned fra Player nedlastingssenter eller ved å bruke mekanismen for automatisk oppdatering i produktet når dette angis på skjermen.
For kunder som ikke kan oppgradere til Adobe Flash Player 9, har Adobe utviklet en oppgradert versjon av Flash Player 7. Vennligst se Flash Player update TechNote.
Adobe anser dette som et kritisk problem, og anbefaler at de berørte brukerne oppgraderer til versjon 9.0.47.0 (Win, Mac Solaris) eller 9.0.48.0 (Linux).
Det er blitt identifisert en feil ved validering av inndata i Flash Player 9.0.45.0 og tidligere versjoner – denne feilen kan føre til potensiell utførelse av vilkårlig kode. Dette sikkerhetsbruddet kan åpnes fra innhold levert eksternt via brukerens nettleser, e-postklient eller andre programmer som inkluderer eller refererer til Flash Player. (CVE-2007-3456)
Det er blitt detektert et problem med utilstrekkelig validering av HTTP Referer i Flash Player 8.0.34.0 og tidligere versjoner. Dette problemet berører ikke Flash Player 9. Dette problemet kan eventuelt hjelpe en angriper med å utføre et CSRF-angrep (cross-site request forgery – forespørselsbedrageri på nettstedene). (CVE-2007-3457)
Linux- og Solaris-oppdateringene for Flash Player 7 (7.0.70.0) tar for seg problemene med Flash Player og Opera- og Konqueror-nettleserne som er beskrevet i sikkerhetsråd APSA07-03. Disse problemene angår ikke Flash Player 9 på Linux eller Solaris. (CVE-2007-2022)
| Programmer som er påvirket: | Anbefalt Player-oppdatering | Tilgjengelighet |
|---|---|---|
| Flash Player 9.0.45.0 og tidligere versjoner | 9.0.47.0 | Player nedlastingssenter |
| Flash Player 9.0.45.0 og tidligere versjoner – nettverksdistribusjon | 9.0.47.0 | Player-lisensiering |
| Flash Player 9.0.45.0 og tidligere versjoner for Linux | 9.0.48.0 | Player nedlastingssenter |
| Flash CS3 Professional | 9.0.47.0 | Flash Player 9-oppdatering for Flash CS3 Professional |
| Flash Professional 8, Flash Basic | 8.0.35.0 | Flash Player 8-oppdatering for Flash Professional 8, Flash Basic |
| Flex 2.0 | 9.0.47.0 | Flash Debug Player Updater |
Adobe takker Stefano DiPaola, Elia Florio og Giorgio Fedon for at de rapporterte feilen ved validering av inndata (CVE-2007-3456) og samarbeider med oss for å bidra til å beskytte våre kunder.
Adobe takker Daiki Fukumori i Secure Sky Technology, Inc. for at han rapporterte dette HTTP Referer-sikkerhetsbruddet (CVE-2007-3457) og samarbeider med oss for å hjelpe oss med å beskytte våre kunder.
Adobe takker Mark Hills for at han rapporterte problemene med Flash Player og Opera- og Konqueror-nettleserne som er forklart i sikkerhetsråd APSA07-03 (CVE-2007-2022) og for at han samarbeider med Opera for å bidra til å beskytte våre felles kunder.
10. juli 2007 – Sikkerhetsbulletin opprettet.
Når du bruker programvare fra Adobe Systems Incorporated eller datterselskaper ("Adobe"), godtar du følgende betingelser og vilkår. Hvis du ikke godtar betingelsene og vilkårene, må du ikke bruke programvaren. Betingelsene i en sluttbrukerlisensavtale som følger med en bestemt programvarefil ved installering eller nedlasting av programvaren, skal erstatte betingelsene nedenfor.
Eksport og videreeksport av Adobes programvareprodukter er underlagt amerikanske eksportregler, og slik programvare kan ikke eksporteres eller videreeksporteres til Cuba, Iran, Irak, Libya, Nord-Korea, Sudan eller Syria, eller noe annet land som USA har handelsforbud med. Adobe-programvare kan heller ikke distribueres til personer på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals.
Når du laster ned eller bruker et Adobe-programvareprodukt, bekrefter du at du ikke er borger av Cuba, Iran, Irak, Libya, Nord-Korea, Sudan eller Syria eller noe land som USA har handelsforbud med, og at du ikke er en person som står på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals.
Hvis programvaren er laget for bruk med et programprodukt ("Vertsprogrammet") utgitt av Adobe, gir Adobe deg en generell lisens til å bruke slik programvare bare med Vertsprogrammet, forutsatt at du har en gyldig lisens fra Adobe for Vertsprogrammet. Med unntak av det som er beskrevet nedenfor, er slik programvare lisensiert til deg underlagt betingelsene og vilkårene i Lisensavtale for sluttbrukere fra Adobe, og regulerer din bruk av Vertsprogrammet.
GARANTIFRASKRIVELSE:DU GODTAR AT ADOBE IKKE HAR GITT DEG NOEN UTTRYKKELIGE GARANTIER VEDRØRENDE PROGRAMVAREN, OG AT PROGRAMVAREN LEVERES DEG "SOM DEN ER", UTEN NOEN FORM FOR GARANTI. ADOBE FRASKRIVER SEG ALLE GARANTIER VEDRØRENDE PROGRAMVAREN, UTTRYKT ELLER UNDERFORSTÅTT, INKLUDERT MEN IKKE BEGRENSET TIL EVENTUELLE GARANTIER OM EGNETHET TIL ET BESTEMT FORMÅL, SALGBARHET, SALGBARHETSKVALITET ELLER KRENKELSE AV TREDJEPARTS RETTIGHETER. Noen rettskretser tillater ikke utelukkelse av underforståtte garantier, så det kan hende at de ovennevnte begrensningene ikke gjelder for deg.
ANSVARSBEGRENSNING: UNDER INGEN OMSTENDIGHETER VIL ADOBE VÆRE ANSVARLIG FOR EVENTUELLE BRUKSTAP, FORRETNINGSAVBRUDD ELLER EVENTUELLE DIREKTE, INDIREKTE, SPESIELLE, TILFELDIGE SKADER ELLER FØLGESKADER AV NOE SLAG (INKLUDERT TAPT FORTJENESTE), UANSETT TYPE HANDLING, UANSETT OM DE ER KONTRAKTSFESTET ELLER ET RESULTAT AV SIVILE SØKSMÅL (INKLUDERT UAKTSOMHET), UTTRYKKELIG PRODUKTANSVAR ELLER PÅ ANNEN MÅTE, SELV OM ADOBE ER GJORT OPPMERKSOM PÅ MULIGHETENE FOR SLIKE SKADER. Noen rettskretser tillater ikke utelukkelse eller begrensning av følgeskader eller tilfeldige skader, og dermed kan det hende at de ovennevnte begrensningene eller utelukkelsene ikke gjelder for deg.
