內容

在 Adobe Flash Player Linux 版發現漏洞，遠端攻擊者可利用漏洞危及受影響的系統。
由於載入特製的 SWF 檔案時 Adobe Flash Player 會產生不明錯誤，攻擊者可利用漏洞執行任意程式碼。

影響

* 遠端執行程式碼

受影響之系統

* Adobe Flash Player Linux 版 10.0.12.36 版本及之前的版本
* Adobe Flash Player Linux 版 9.0.151.0 版本及之前的版本

解決方案

在安裝軟體之前，請以瀏覽軟體供應商之網站，以獲得更多詳細資料。

* 更新至 Flash Player Linux 版 10.0.15.3 版本:
http://get.adobe.com/flashplayer

*

更新至 Flash Player Linux 版 9.0.152.0 版本:
http://www.adobe.com/go/kb406791

相關連結

* http://www.vupen.com/english/advisories/2008/3449/

資料來源

* VUPEN Security

原文出處~香港保安事故協調中心
http://www.hkcert.org/chinese/home.html

感謝提供訊息

64bit 新版 10.0.d21.1
有用的也儘快更新

訪客 寫到：
64bit 新版 10.0.d21.1
有用的也儘快更新

我用的是10.0.d20，會有影響嗎？
算了，安全起見，還是昇到10.0.d21吧！

另外有個疑問：為什麼64bit版的編號跟x86的差這麼多？

Adobe Flash player又來保安漏洞！

資料來源：香港電腦保安事故協調中心 寫到：
Adobe Flash Player 執行程式碼及點擊綁架漏洞

內容

在 Adobe Flash Player 發現多個漏洞，攻擊者可利用漏洞獲得敏感資訊、取得某些資料、進行阻斷服務或危及受影響的系統。

1. 由於處理 Shockwave Flash 檔案時，建立及刪除某些物件會產生不正確物件參照。攻擊者可透過引誘使用者到訪含惡意編碼的網頁，利用漏洞執行任意程式碼。

2. 由於存在一個不明的輸入驗證錯誤，攻擊者可利用漏洞進行阻斷服務或執行任意程式碼。

3. 由於存在一個關於設定管理員的不明錯誤，攻擊者可利用漏洞進行點擊綁架攻擊。

4. 由於存在一個關於 mouse pointer display 的不明錯誤，攻擊者可利用漏洞對視窗系統進行點擊綁架攻擊。

5. 安裝在 Linux 的 Flash Player 存在一個不明的資料洩露漏洞，本機攻擊者可利用漏洞取得較高權限。

影響

* 阻斷服務
* 洩露敏感資料
* 遠端執行程式碼

受影響之系統

* Adobe Flash Player 10.0.12.36 版本及之前的版本
* 安裝在 Linux 的 Adobe Flash Player 10.0.15.3 版本及之前的版本
* Adobe AIR 1.5
* Adobe Flash CS4 Professional
* Adobe Flash CS3 Professional
* Adobe Flex 3

解決方案

在安裝軟體之前，請先瀏覽軟體供應商之網站，以獲得更多詳細資料。

Flash Player 9.x 版本﹕
升級至 9.0.159.0 版本
http://www.adobe.com/go/kb406791

Flash Player 10.0.12.36 版本及之前的版本﹕
升級至 10.0.22.87 版本
http://www.adobe.com/go/getflash

Flash Player 10.0.12.36 版本及之前的版本 (network distribution)﹕
升級至 10.0.22.87 版本
http://www.adobe.com/licensing/distribution

安裝在 Linux 的 Flash Player 10.0.15.3 版本及之前的版本﹕
升級至 10.0.22.87 版本
http://www.adobe.com/go/getflash

AIR 1.5 ﹕
升級至 1.5.1 版本
http://get.adobe.com/air

Flash CS4 Professional ﹕
升級至 10.0.22.87 版本
http://www.adobe.com/support/flashplayer/downloads.html#fp10

Flash CS3 Professional ﹕
升級至 9.0.159.0 版本
http://www.adobe.com/support/flashplayer/downloads.html#fp9

Flex 3 ﹕
升級至 10.0.22.87 版本
http://www.adobe.com/support/flashplayer/downloads.html#fp9

相關連結

* http://www.adobe.com/support/security/bulletins/apsb09-01.html
* http://secunia.com/advisories/34012/
* http://www.vupen.com/english/advisories/2009/0513

資料來源

* Adobe
* Secunia
* VUPEN

漏洞識別碼

* CVE-2009-0114
* CVE-2009-0519
* CVE-2009-0520
* CVE-2009-0521
* CVE-2009-0522

本次更新除了修補保安漏洞外，還更新了部分bug：

Adobe Flash Player 10.0.22.87 introduces support for Solaris platforms.

Adobe Flash Player 10.0.22.87 provides the ability to grant or deny access to AV device equipment from the flash player based on ‘deny all’, except for a specified whitelist of domains, via the MMS.cfg file.

Flash Player 10.0.22.87 includes security enhancements described in USecurity Bulletin APSB09-01U.

The following issues have been fixed in Flash Player 10.0.22.87:
• Flash Player 10 crashes in IE7 due to the use of a dynamic TextField as a mask on another display object when the field set to anti-alias for readability. (FP-1238/2256938)
• A sound stream error #2032 will cause the playback of a separate stream to stop playback. (FP-910/2251944)
• Japanese text mojibake (garbled) at Input Text in Flash 5 swf. (2223727)
• Ming created file does not play in Flash Player 10 in any browser. (FP-769/2217038)
• FileReference.save() can save invalid Windows filename like "sticky." so users are never able to delete. (2202963)
• Setting bitmap width/height before super() crashes player. (FP-760/2216975)
• Audio is scratchy with static/streamed with sample rate greater than 44kHz. (FP-862/2216961)
• Seeking H264 video on the first few frames causes IE to crash. (FP-913/2216957)
• Fullscreen in Flash Player 10 hangs with Flex 3 horizontal slider. (FP-812/2216948)
• Matrix3D AS3 class implementation is difficult to use for general math. (2216936)
• The Origin header should be put on the banned headers list. (2202975)
• Using drawingAPI2 in certain conditions when the Shape is not yet on the displayList can crash. (FP-761/2202966)
• Adding 2 vectors with float4 input and output produces incorrect result. (2202964)
• Attempting to install to a non-C:\ drive results in 'lack of disk space' error. (2202957)
• Fix AS APIs' inconsistent handling of NaN parameters on different platforms. (FP-612,FP-903, FP-964/2200454)
• SampleDataEvent playback in IE7 window crashes browser when new Flash window displayed. (FP-985/1935068)
• When receiving multiple speex audio streams, audio may be garbled. (1934243)
• When the end of a video is reached at certain websites, IE crashes instead of showing the next frame. (FP-1123/1932362)
• UIA mistakenly over-enforced in previous release. (2262898)
• Japanese characters are mojibake when they are entered into an input text filed on the Mac Player. (FP-40/2269305)

資料來源：http://filehippo.com/download_flashplayer_ie/changelog/

上週apt已經自動要求更新這個東西了吧？
在下去adobe網站下載，說版本比較舊不能安裝。
其他的朋友是否也如此？

訪客 寫到：
64bit 新版 10.0.d21.1
有用的也儘快更新

Linux 64bit 版，版號是 10.0.22.87：

在這：http://labs.adobe.com/downloads/flashplayer10.html

.

從about :plugins看版號？如果是舊版就移除之前裝的，裝adobe提供的如何:)

剛剛看到可以到這看你安裝的flash版本
http://www.adobe.com/software/flash/about/

用我說的只能看到Shockwave Flash 10.0 r22不能看到詳細版號
You have version 10,0,22,87 installed