Atualizações de segurança disponíveis para o Adobe Flash Player

Data de lançamento: 14 de abril de 2015

Última atualização: 11 de agosto de 2015

Identificador de vulnerabilidade: APSB15-06

Prioridade: Consulte a tabela abaixo

Número CVE: CVE-2015-0346, CVE-2015-0347, CVE-2015-0348, CVE-2015-0349, CVE-2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Plataforma: Todas as plataformas

Resumo

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.  

A Adobe está ciente de um relato sobre a existência de um exploit do CVE-2015-3043 e recomenda que os usuários atualizem suas instalações de produtos com as versões mais recentes: 

  • Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 17.0.0.169. 
  • Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.281. 
  • Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.457. 
  • O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão 17.0.0.169 quando disponível. 
  • Os usuários do tempo de execução de desktop Adobe AIR devem atualizar para a versão 17.0.0.172.
  • Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 17.0.0.172.

Versões de software afetadas

  • Adobe Flash Player 17.0.0.134 e versões anteriores
  • Adobe Flash Player 13.0.0.277 e versões 13.x anteriores
  • Adobe Flash Player 11.2.202.451 e versões 11.x anteriores
  • Tempo de execução de desktop AIR 17.0.0.144 e versões anteriores
  • AIR SDK e Compiler 17.0.0.144 e versões anteriores 

Para verificar a versão do Adobe Flash Player instalada em seu sistema, acesse a página Sobre o Adobe Flash Player ou clique com o botão direito no conteúdo em execução no Flash Player e selecione "Sobre o Adobe (ou Macromedia) Flash Player" no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.

Para verificar a versão do Adobe AIR instalada no seu sistema, siga as instruções na TechNote do Adobe AIR.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções: 

  • A Adobe recomenda que usuários do Tempo de execução de desktop do Adobe Flash Player para Windows e Macintosh atualizem para a versão 17.0.0.169 ao visitar o Centro de download do Adobe Flash Player ou pelo recurso de atualização do produto quando solicitado. 

  • A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 13.0.0.281 acessando http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

  • A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.457 visitando o _brCentro de download do Adobe Flash Player

  • O Adobe Flash Player instalado com o Google Chrome será atualizado automaticamente para a versão mais recente do Google Chrome: o Adobe Flash Player 17.0.0.169. 

  • O Adobe Flash Player instalado com o Internet Explorer para Windows 8.x será atualizado automaticamente para a versão mais recente quando disponível, o que incluirá o Adobe Flash Player 17.0.0.169.

  • A Adobe recomenda que os usuários do tempo de execução de desktop do Adobe AIR atualizem para a versão 17.0.0.172 visitando o Centro de Download do Adobe AIR.  

  • A Adobe recomenda que os usuários do Adobe AIR SDK atualizem para a versão 17.0.0.172 no Centro de Download do Adobe AIR.  

  • A Adobe recomenda que os usuários do Adobe AIR SDK & Compiler atualizem para a versão 17.0.0.172 visitando o Centro de Download do Adobe AIR.

Classificações de prioridade e severidade

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versões afetadas Plataforma Classificação de prioridade
Tempo de execução de desktop do Adobe Flash Player 17.0.0.134 e versões anteriores
Windows e Macintosh
1
Versão do Adobe Flash Player Extended Support 13.0.0.277 e versões anteriores Windows e Macintosh
1
Adobe Flash Player para Google Chrome  17.0.0.134 e versões anteriores Windows, Macintosh e Linux
1
Adobe Flash Player para Internet Explorer 10 e Internet Explorer 11 17.0.0.134 e versões anteriores Windows 8.0 e 8.1 1
Adobe Flash Player 11.2.202.451 e versões anteriores Linux 3
Tempo de execução de desktop AIR 17.0.0.144 e versões anteriores Windows e Macintosh 3
AIR SDK 17.0.0.144 e versões anteriores Windows, Macintosh, Android e iOS 3
AIR SDK & Compiler 17.0.0.144 e versões anteriores Windows, Macintosh, Android e iOS  3

Essas atualizações corrigem vulnerabilidades críticas no software.

Detalhes

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado. 

A Adobe está ciente de um relato sobre a existência de um exploit do CVE-2015-3043 e recomenda que os usuários atualizem suas instalações de produtos com as versões mais recentes: 

  • Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 17.0.0.169.

  • Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.281.

  • Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.457.

  • O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão 17.0.0.169 quando disponível.

  • Os usuários do tempo de execução de desktop Adobe AIR devem atualizar para a versão 17.0.0.172.

  • Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 17.0.0.172.

Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Essas atualizações resolvem uma vulnerabilidade de confusão de tipo que pode levar à execução de código (CVE-2015-0356). 

Essas atualizações resolvem uma vulnerabilidade de estouro de buffer que pode levar a uma execução de código (CVE-2015-0348). 

Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Essas atualizações resolvem vulnerabilidades de liberação dupla que podem levar à execução de código (CVE-2015-0346, CVE-2015-0359). 

Essas atualizações resolvem vulnerabilidades de vazamento de memória que poderiam ser usadas para contornar ASLR (CVE-2015-0357, CVE-2015-3040).  

Essas atualizações resolvem uma vulnerabilidade de falha de segurança que pode levar à divulgação de informações (CVE-2015-3044). 

Software afetado   Atualização do Player recomendada Disponibilidade
Tempo de execução de desktop Flash Player
  17.0.0.169

Centro de downloads do Flash Player

Distribuição do Flash Player

Versão do Flash Player Extended Support   13.0.0.281 Suporte Estendido
Flash Player para Linux   11.2.202.457 Centro de downloads do Flash Player
Flash Player para Google Chrome   17.0.0.169 Versões do Google Chrome
Flash Player para Internet Explorer 10 e Internet Explorer 11   17.0.0.169
Conselho de segurança da Microsoft
Tempo de execução de desktop AIR   17.0.0.172 Centro de downloads do AIR
AIR SDK   17.0.0.172 Download do AIR SDK
AIR SDK & Compiler   17.0.0.172 Download do AIR SDK

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Anônimo (CVE-2015-3043)
  • bilou, trabalhando com o programa de recompensa da vulnerabilidade Chromium (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  
  • Chris Evans do Project Zero da Google (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360)

  • instruder da Alibaba Security Research Team (CVE-2015-3038)

  • Jihui Lu do KeenTeam (@K33nTeam) que trabalha com o Programa de recompensas de vulnerabilidade Chromium (CVE-2015-0351, CVE-2015-3040, CVE-2015-3041)

  • Jouko Pynnönen da Klikki Oy (CVE-2015-0346, CVE-2015-3044)

  • Michele Spagnuolo da Equipe de segurança da Google e Mark Brand do Project Zero da Google (CVE-2015-3042)

Revisões

12 de maio de 2015: Adicionadas as versões do Adobe AIR que corrigem os CVEs mencionados neste boletim. 

3 de julho de 2015: Crédito adicionado à bilou que trabalha com a Zero Day Initiative da HP por separadamente relatar o CVE-2015-3039.