1. Startsida
2. Support
3. Säkerhetsanvisningar

Säkerhetsbulletin

Nya uppdateringar för Adobe Flash Player finns tillgängliga

Releasedatum: 8 december 2009

Senast uppdaterad: 10 december 2009

Sårbarhets-ID: APSB09-19

CVE-nummer: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

Plattform: Alla plattformar

Sammanfattning

Säkerhetsluckor som klassats som critical* har upptäckts i Adobe Flash Player 10.0.32.18 och tidigare versioner.Säkerhetsluckorna kan få programmet att krascha och en angripare skulle kunna utnyttja dessa för att ta kontroll över den drabbade datorn.

Adobe rekommenderar användare av Adobe Flash Player 10.0.32.18 och tidigare versioner att uppdatera till Adobe Flash Player 10.0.42.34.Adobe rekommenderar användare av Adobe Air 1.5.2 och tidigare versioner att uppdatera till AIR 1.5.3.

Berörda programversioner

Adobe Flash Player 10.0.32.18 och tidigare
Adobe AIR 1.5.2 och tidigare

Du hittar versionsnumret på sidan About Flash Player eller genom att högerklicka i Flash Player och välja ”About Adobe (eller Macromedia) Flash Player” på menyn.Om du har flera webbläsare måste du kontrollera var och en av dem.

Lösning

Adobe Flash Player
Adobe rekommenderar alla användare av Adobe Flash Player 10.0.32.18 och tidigare versioner att uppgradera till den senaste versionen, 10.0.42.34, genom att ladda ned denna från Player Download Center* eller via autouppdateringen i programmet.

För användare som inte kan uppdatera till Adobe Flash Player 10 har Adobe utvecklat en patchad version av Adobe Flash Player 9, Adobe Flash Player 9.0.260, som kan laddas ned här: http://www.adobe.com/go/kb406791*

Adobe AIR
Adobe rekommenderar alla användare av Adobe AIR version 1.5.2 och tidigare att uppdatera till den nyaste versionen 1.5.3 genom att ladda ner den från Adobe AIR Download Center*.

Allvarlighetsgrad

Adobe klassar uppdateringen som critical* och rekommenderar att berörda användare uppdaterar till de nyaste versionerna.

Detaljer

Säkerhetsluckor som klassats som critical har upptäckts i Adobe Flash Player 10.0.32.18 och tidigare versioner.Säkerhetsluckorna kan få programmet att krascha och en angripare skulle kunna utnyttja dessa för att ta kontroll över den drabbade datorn.

Adobe rekommenderar användare av Adobe Flash Player 10.0.32.18 och tidigare versioner att uppdatera till Adobe Flash Player 10.0.42.34.Adobe rekommenderar användare av Adobe Air 1.5.2 och tidigare versioner att uppdatera till AIR 1.5.3.

Uppdateringen åtgärdar en säkerhetslucka i anaysen av JPEG-data som kan medföra exekvering av kod (CVE-2009-3794).

Uppdateringen åtgärdar ett data injection-problem som kan medföra exekvering av kod (CVE-2009-3796).

Uppdateringen åtgärdar ett minnesfel som kan medföra exekvering av kod (CVE-2009-3797).

Uppdateringen åtgärdar ett minnesfel som kan medföra exekvering av kod (CVE-2009-3798).

Uppdateringen åtgärdar ett interger overflow-problem som kan medföra exekvering av kod (CVE-2009-3799).

Uppdateringen åtgärdar ett multiple crash overflow-problem som kan medföra exekvering av kod (CVE-2009-3800).

Uppdateringen åtgärdar ett Windows-specifikt problem med lokal filnamnåtkomst i Flash Player ActiveX-kontroll som kan medföra att information exponeras (CVE-2009-3951). Detta uppdaterar den tidigare patchen, CVE-2008-4820.

Berörda programvaror	Rekommenderad uppdatering	Tillgänglighet
Flash Player 10.0.32.18 och tidigare	10.0.42.34	Flash Player Download Center*
Flash Player 10.0.32.18 och tidigare – nätverksdistribution	10.0.42.34	Flash Player, licensiering
Flash Player 10.0.32.18 och tidigare för Linux	10.0.42.34	Flash Player Download Center*
AIR 1.5.2	AIR 1.5.3	AIR Download Center*
Flash CS4 Professional	10.0.42.34	Adobe Flash Player 10 Update for Flash CS4 Professional
Flash CS3 Professional	9.0.260	Flash Debug Player Updater
Flex 3	10.0.42.34	Flash Debug Player Updater

Obs! Adobe Flash Player 10.1, som förväntas lanseras under 2010 års första hälft, blir den sista versionen som kan köras i PowerPC-baserade G3-datorer från Macintosh. Adobe upphör med stödet för PowerPC-baserade G3-datorer och kommer inte längre att leverera säkerhetsuppdateringar efter Flash Player 10.1. Detta beror på prestandaförbättringar som inte stöds av en äldre PowerPC-arkitektur.

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

• En anonym forskare som rapporterat via TippingPoint's Zero Day Initiative* (CVE-2009-3794)
• Jim Cheng från EffectiveUI* (CVE-2009-3796)
• Bing Liu från Fortinets FortiGuard Labs (CVE-2009-3797, CVE-2009-3798)
• Damian Put via TippingPoint's Zero Day Initiative* (CVE-2009-3799)
• Will Dormann från CERT* (CVE-2009-3800)
• Manuel Caballero och Microsoft Vulnerability Research (MSVR)* (CVE-2009-3951)

Revisioner

10 december 2009 – Bulletinen uppdaterades med korrigerade versionsnummer i avsnittet Detaljer och länken till Flash Player 9 under Lösning.
9 december 2009 – Bulletinen uppdaterades med information för Flash CS4 Professional, Flash CS3 Professional och Flex 3
8 december 2009 – Bulletinen släpptes