安全性公告

Adobe Flash Player 的安全性建議

發行日期：2009 年 12 月 8 日

上次更新日期：2009 年 12 月 10 日

弱點識別碼： APSB09-19

CVE 編號：CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951

平台： 所有平台

摘要

已在 Adobe Flash Player 10.0.32.18 版與之前版本中發現有多項重大弱點。這些弱點會造成應用程式當機，但是攻擊者可利用這些弱點控制受影響的系統。

Adobe 建議 Adobe Flash Player 10.0.32.18 和之前版本的使用者更新至 Adobe Flash Player 10.0.42.34。Adobe 建議 Adobe AIR 1.5.2 版及之前版本的使用者升級至 Adobe AIR 1.5.3。

受影響的軟體版本

Adobe Flash Player 10.0.32.18 和之前版本
Adobe AIR 1.5.2 和之前版本

若要確認安裝在您系統上的 Adobe Flash Player 版本號碼，請進入 About Flash Player 頁面，或在 Flash Player 內容上按滑鼠右鍵，然後從功能表選擇「關於 Adobe（或 Macromedia）Flash Player」。如果您使用多種瀏覽器，請對安裝在系統中的每個瀏覽器均進行檢查。

解決方法

Adobe Flash Player
Adobe 建議所有 Adobe Flash Player 10.0.32.18 及之前版本的使用者升級至最新版 10.0.42.34。請從 Flash Player 下載中心*，或透過產品的自動更新機制，在出現提示時下載最新版本。

Adobe 已針對無法升級至 Adobe Flash Player 10 的使用者開發一個 Adobe Flash Player 9 修補版本 (Adobe Flash Player 9.0.260)，您可從以下連結下載： http://www.adobe.com/go/kb406791*

Adobe AIR
Adobe 建議所有 Adobe AIR 1.5.2 及舊版的使用者更新至最新版本 1.5.3（您可從 Adobe AIR 下載中心取得）。

嚴重性分級

Adobe 將這些分類為重大問題，並建議受影響的使用者將其安裝版本更新為最新版本。

詳細資訊

已在 Adobe Flash Player 10.0.32.18 版與之前版本中發現有多項重大弱點。這些弱點會造成應用程式當機，但是攻擊者可利用這些弱點控制受影響的系統。

Adobe 建議 Adobe Flash Player 10.0.32.18 和之前版本的使用者更新至 Adobe Flash Player 10.0.42.34。Adobe 建議 Adobe AIR 1.5.2 版及之前版本的使用者升級至 Adobe AIR 1.5.3。

此更新程式可解決 JPEG 資料剖析中可能導致程式碼執行的弱點 (CVE-2009-3794)。

此更新程式可解決可能導致程式碼執行的資料植入弱點 (CVE-2009-3796)。

此更新程式可解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2009-3797)。

此更新程式可解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2009-3798)。

此更新程式可解決可能導致程式碼執行的整數溢位弱點 (CVE-2009-3799)。

此更新程式可解決可能導致程式碼執行的多重當機弱點 (CVE-2009-3800)。

此更新程式可解決在 Windows 系統中，Flash Player ActiveX 控制項中可能導致資訊洩露的本機檔案名稱存取弱點 (CVE-2009-3951)。此更新程式可修補之前的問題，CVE-2008-4820。

受影響的軟體	建議的播放器更新	上市情況
Flash Player 10.0.32.18 和之前版本	10.0.42.34	Flash Player 下載中心*
Flash Player 10.0.32.18 和之前版本 - 網路散發	10.0.42.34	Flash Player 授權*
適用於 Linux 的 Flash Player 10.0.32.18 和之前版本	10.0.42.34	Flash Player 下載中心*
AIR 1.5.2	AIR 1.5.3	AIR 下載中心
Flash CS4 Professional	10.0.42.34	Adobe Flash Player 10 Update for Flash CS4 Professional*
Flash CS3 Professional	9.0.260	Flash Debug Player 更新版*
Flex 3	10.0.42.34	Flash Debug Player 更新程式*

注意：預計將於 2010 上半年度發行的 Adobe Flash Player 10.1 將會是提供 Macintosh PowerPC G3 電腦支援的最後一個版本。Adobe 將會停止提供 PowerPC G3 電腦支援，並在 Flash Player 10.1 發行後不再提供相關的安全性更新。此項支援停止是由於效能增強無法支援舊版 PowerPC 架構。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護客戶的安全：

匿名研究員透過 TippingPoint 的 Zero Day Initiative* 通報 (CVE-2009-3794)
EffectiveUI* 的 Jim Cheng (CVE-2009-3796)
Fortinet FortiGuard Labs* 的 Bing Liu (CVE-2009-3797，CVE-2009-3798)
Damian Put 透過 TippingPoint 的 Zero Day Initiative* 通報 (CVE-2009-3799)
CERT* 的 Will Dormann (CVE-2009-3800)
Manuel Caballero 和 Microsoft Vulnerability Research (MSVR)* (CVE-2009-3951)

修訂版

2009 年 12 月 10 日 – 公告更新「詳細資訊」一節中的版本編號修正並在「解決方案」之下提供至 Flash Player 9 的連結。
2009 年 12 月 9 日 - 公告更新 Flash CS4 Professional、Flash CS3 Professional 和 Flex 3 的詳細資訊
2009 年 12 月 8 日 – 發佈公告