Flash Player重大安全漏洞
Adobe發佈Flash Player所有平台的安全更新,修補包括一項可讓駭客竊取使用者網站登入資訊在內的三項漏洞。
該安全更新旨在修補包括 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三項漏洞,受影響的產品包括Windows及Mac平台的Adobe Flash Player 14.0.0.125,以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe建議使用者應儘速更新,以防駭客取得受害系統控制權限。
三項安全漏洞中,CVE-2014-4671漏洞風險程度高過其他二個。Google安全工程師Michele Spagnuolo 指出,這是一個跨站偽造請求漏洞(cross-site request forgery, CSRF),可能讓攻擊者竊取網站登入資訊。
Spagnuolo並對此製作名為Rosetta Flash的概念驗證攻擊工具,可以將包含惡意指令碼的Adobe Shockwave Flash檔案轉成只以英文字母及數字組成的檔案,以攻擊使用JSONP的網站。一旦這類網站的端點具有這項漏洞,即可透過Flash應用針對網站執行任意網域呼叫,繞過名為Same Origin Policy的防範政策,藉此攔截網站的cookie、取得敏感資料,再傳送到攻擊者控制的網站。
更新至最新版本:
Windows Internet Explorer 專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者應更新為 Adobe Flash Player 12.0.0.38。
Windows 上 NPAPI 增效模組型瀏覽器專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者應更新為 Adobe Flash Player 12.0.0.43
Macintosh 專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者應更新為 Adobe Flash Player 12.0.0.38。
Linux 專用 Adobe Flash Player 11.2.202.332 及更早版本的使用者應更新為 Adobe Flash Player 11.2.202.335。
隨 Google Chrome 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Google Chrome 版本,此版本將包含 Windows、Macintosh 與 Linux 專用的 Adobe Flash Player 12.0.0.41。
隨 Internet Explorer 10 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Internet Explorer 10 版本,此版本將包含 Windows 8.0 專用的 Adobe Flash Player 12.0.0.38。
隨 Internet Explorer 11 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Internet Explorer 11 版本,此版本將包含 Windows 8.1 專用的 Adobe Flash Player 12.0.0.38。
使用 Windows 與 Macintosh 專用 Adobe AIR 3.9.0.1380 及更早版本的使用者應更新為 Adobe AIR 4.0.0.1390。
使用 Android 專用 Adobe AIR 3.9.0.1380 及更早版本的使用者應更新為 Adobe AIR 4.0.0.1390。
使用 Adobe AIR 3.9.0.1380 SDK 及更早版本的使用者應更新為 Adobe AIR 4.0.0.1390 SDK。
使用 Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本的使用者應更新為 Adobe AIR 4.0.0.1390 SDK & Compiler。
受影響的軟體版本
Windows 與 Macintosh 專用 Adobe Flash Player 11.9.900.170 及更早版本
Linux 專用 Adobe Flash Player 11.2.202.332 及更早版本
Windows 與 Macintosh 專用 Adobe AIR 3.9.0.1380 及更早版本
Android 專用 Adobe AIR 3.9.0.1380 及更早版本
Adobe AIR 3.9.0.1380 SDK 及更早版本
Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本
若要確認您系統上安裝的 Adobe Flash Player 版本,請進入 關於 Flash Player 頁面,或在 Flash Player 內容上按滑鼠右鍵,然後從選單選擇「關於 Adobe(或 Macromedia)Flash Player」。如果您使用多種瀏覽器,請對安裝在系統中的每個瀏覽器均進行檢查。
如要確認 Android 專用 Adobe Flash Player 的版本,請至「設定 > 應用程式 > 管理應用程式 > Adobe Flash Player x.x」。
若要確認您系統上安裝的 Adobe AIR 版本,請依照 Adobe AIR TechNote 中的說明。
解決方法
Adobe 建議使用者依照下列說明更新其軟體安裝:
Adobe 建議使用 Windows Internet Explorer 專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者前往 Adobe Flash Player 下載中心下載並更新至最新的版本 12.0.0.38,或者是透過產品本身的更新機制,依照提示安裝更新。
Adobe 建議使用 Macintosh 專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者前往 Adobe Flash Player 下載中心下載並更新至最新的版本 12.0.0.38,或者是透過產品本身的更新機制,依照提示安裝更新。
Adobe 建議使用 Windows 上 NPAPI 增效模組型瀏覽器專用 Adobe Flash Player 11.9.900.170 及更早版本的使用者前往 Adobe Flash Player 下載中心下載並更新至最新的版本 12.0.0.43,或者是透過產品本身的更新機制,依照提示安裝更新。
Adobe 建議使用 Linux 專用 Adobe Flash Player 11.2.202.332 及更早版本的使用者前往 Adobe Flash Player 下載中心下載並更新至 Adobe Flash Player 11.2.202.335。
對於使用 Windows 與 Macintosh 專用 Flash Player 11.7.700.257 及更早版本的使用者 (無法更新為 12.0.0.38),Adobe 已提供 Flash Player 11.7.700.260 更新,請從這裡下載。
隨 Google Chrome 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Google Chrome 版本,此版本將包含 Windows、Macintosh 與 Linux 專用的 Adobe Flash Player 12.0.0.41。
隨 Internet Explorer 10 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Internet Explorer 10 版本,此版本將包含 Windows 8.0 專用的 Adobe Flash Player 12.0.0.38。
隨 Internet Explorer 11 安裝的 Adobe Flash Player 11.9.900.170 將會自動更新為最新的 Internet Explorer 11 版本,此版本將包含 Windows 8.1 專用的 Adobe Flash Player 12.0.0.38。
Windows 與 Macintosh 專用 Adobe AIR 3.9.0.1380 及更早版本的使用者,應前往 Adobe AIR 下載中心下載並更新至 Adobe AIR 4.0.0.1390。
Adobe AIR 3.9.0.1380 SDK 的使用者應前往 Adobe AIR SDK 下載中心下載並更新至 Adobe AIR 4.0.0.1390 SDK。
Adobe AIR 3.9.0.1380 SDK & Compiler 及更早版本的使用者應前往 Adobe AIR SDK 下載中心下載並更新至 Adobe AIR 4.0.0.1390 SDK & Compiler。
Android 專用 Adobe AIR 3.9.0.1380 及更早版本的使用者應從 Android 裝置瀏覽至 Google Play,以更新至 Adobe AIR 4.0.0.1390。
資料來源:adobe官方網站