發佈日期: 2006 年 9 月 12 日
弱點識別碼: APSB06-11
CVE 編號: CVE-2006-3014、CVE-2006-3311、CVE-2006-3587、CVE-2006-3588、CVE-2006-4640
平台: 所有平台
已在 Flash Player 8.0.24.0 和之前版本中發現有多項重大弱點, 攻擊者可利用這些弱點控制受影響的系統。 使用者必須先將惡意 SWF 檔載入 Flash Player 後, 攻擊者才能利用這些弱點。 建議使用者升級至其平台適用的最新版 Flash Player。
Adobe 建議所有 Flash Player 8.0.24.0 及之前版本的使用者升級至最新版 9.0.16.0。請從 播放器下載中心, 或透過產品的自動更新機制, 在出現提示時下載最新版本。
對於無法升級至 Flash Player 9 的客戶, 請參閱 Flash Player 升級 TechNote。
Adobe 提供在公司內部網路轉散發 Flash Player 或與其他軟體產品和服務一起轉散發的免費授權。 若需更多資訊以及申請授權事宜, 請使用線上申請*。
如果您無法依循 Adobe 在 Flash Player 升級 TechNote 中的指引, 或無法升級至最新版 Flash Player, 請與 Adobe 安全團隊 (Adobe Security Team) 聯絡, 請求協助此項更新事宜, 來信請寄至: PSIRT@adobe.com。
Adobe Flash Player 8.0.24 和之前版本
若要確認 Flash Player 版本號碼, 請進入 About Flash Player 頁*, 或在 Flash 內容上按滑鼠右鍵, 然後從功能表選擇「關於 Macromedia Flash Player」。 如果您使用多種瀏覽器, 請對每個瀏覽器都執行檢查和安裝。
Adobe 將此歸類為重大更新, 且建議受影響的使用者升級至版本 9.0.16.0。
已在 Flash Player 8.0.24.0 和之前版本中發現多個輸入驗證錯誤, 可能會導致攻擊者執行任意程式碼。 攻擊者可透過使用者網頁瀏覽器、電子郵件用戶端或其他包含或參照 Flash Player 的應用程式, 從遠端位置傳送的內容利用這些弱點。 (CVE-2006-3311、CVE-2006-3587、CVE-2006-3588)
這些更新包含的變更可防止規避 "allowScriptAccess" 選項。 (CVE-2006-4640)
此外, 這些更新還變更了當 Microsoft Office 產品在 Windows 平台上呼叫時, Flash Player 7 和 Flash Player 8 ActiveX 控制行為的方式。這些變更和 Flash Player 9 中包含的變更類似。(CVE-2006-3014)
Flash Player 8 更新 (8.0.33.0) 和 Flash Player 7 更新 (7.0.66.0 或 7.0.68.0) 可解決 Flash Player 之前版本中的安全性弱點。 Flash Player 7 for Linux and Solaris 的更新版本中包含這些弱點的修補程式, 您也可以從 Adobe 播放器下載中心取得這些更新版。
| 受影響的軟體 | 建議的播放器更新 | 服務範圍 |
|---|---|---|
| Flash Player 8.0.24.0 和之前版本 | 8.0.33.0、7.0.68.0 或 7.0.66.0 | 播放器下載中心 |
| Flash Player 8.0.24.0 和之前版本 - 網路散發 | 8.0.33.0、7.0.68.0 或 7.0.66.0 | 播放器授權* |
| Flash Professional 8、Flash Basic | 8.0.33.0 | Flash Basic 8 和 Flash Professional 8 的 Flash Player 8 更新* |
| Flash MX 2004 | 7.0.68.0 | Flash MX 2004 和 Flash MX Professional 的 Flash Player 7 更新* |
| Flex 1.5 | 7.0.65.0 | Flash Debug Player 更新版* |
Adobe 在此感謝 Computer Terrorism (UK) Ltd.* 的 Stuart Pearson 在 Flash Player 9 最終版本發佈之前回報這些弱點 (CVE-2006-3311), 並與我們合作保障客戶的安全性。
使用 Adobe Systems Incorporated 或其子公司 (下稱「Adobe」) 之軟體, 即代表您同意遵守以下條款及條文。 若您不同意該條款及條文, 請勿使用本軟體。 安裝或下載特定軟體時, 隨附之使用者授權合約條款, 將取代以下的條款。
Adobe 軟體產品的出口及再出口, 皆受到美國出口管理規範 (US Export Administration Regulations) 之管控, 且該軟體不得出口或再出口至古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞, 或其他任何美國禁止通商的國家。 另外, Adobe 軟體也不得分發給列在「拒絕往來名單」 (Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」 (List of Specially Designated Nationals) 上之人士。
下載或使用 Adobe 軟體產品代表您保證自己並非古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞, 或其他任何美國禁止通商的國家之國民, 且您未被列在「拒絕往來名單」 (Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」 (List of Specially Designated Nationals) 上。
若該軟體專為與 Adobe 發行之應用程式軟體產品 (下稱「主應用程式」) 搭配使用, Adobe 會授與您一份非專屬授權書, 與主應用程式一起使用該軟體, 但您必須擁有 Adobe 對主應用程式之有效授權書。 除以下規定, 該軟體的授權尚受到 Adobe 對主應用程式的使用者授權合約之條款及條件的限制。
不為瑕疵擔保之聲明: 您同意 Adobe 未對本軟體做出明示擔保, 且同意本軟體僅以「現狀」提供, 不含任何擔保。 Adobe 不為本軟體之瑕疵作出明示或默示擔保, 包含但不限於所有適合特定用途、市售性、市售品質或不侵害第三方權益之保證。 由於部分州或司法管轄區不允許排除默示擔保, 因此上述限制可能不適用於您。
責任限額: Adobe 無需在任何情況下對您無法使用、業務中斷, 或任何直接、間接、特別、附隨或衍生性損害負責 (包括利潤損失), 無論合約、侵權行為 (包括疏忽)、嚴格產品責任或其他的行為形式亦同, 即使 Adobe 已預先獲知可能發生此等損害, 仍無責任。 由於部分州或司法管轄區不允許排除或限制突發或附隨損害, 因此上述限制可能不適用於您。
