Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 12. srpna 2014

Poslední aktualizace: 20. srpna 2014

Identifikátor chyby zabezpečení: APSB14-18

Priorita: Viz tabulka níže

Číslo CVE: CVE-2014-0538, CVE-2014-0540, CVE-2014-0541, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545, CVE-2014-5333

Platforma: Všechny platformy

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Flash Player 14.0.0.145 a starší verze pro systémy Windows a Macintosh a pro aplikaci Adobe Flash Player 11.2.202.394 a starší verze pro systémy Linux. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé doplňku Active X přehrávače Adobe Flash Player pro aplikaci Internet Explorer verze 14.0.0.145 a starší by měli aktualizovat aplikaci Adobe Flash Player na verzi 14.0.0.176.
  • Uživatelé doplňku NPAPI přehrávače Adobe Flash Player pro aplikaci Firefox verze 14.0.0.145 a starší by měli aktualizovat aplikaci Adobe Flash Player na verzi 14.0.0.179.
  • Uživatelé přehrávače Adobe Flash Player verze 14.0.0.145 a starší pro systémy Macintosh by měli aktualizovat přehrávač Adobe Flash Player na verzi 14.0.0.176.
  • Uživatelé přehrávače Adobe Flash Player 11.2.202.394 a starších verzí pro systémy Linux by měli přejít na verzi Adobe Flash Player 11.2.202.400.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.177 pro systémy Windows, Macintosh a Linux.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 10 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 10, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.0.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 11 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 11, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.1.
  • Uživatelé sady Adobe AIR verze 14.0.0.110 a starší pro systémy Windows a Macintosh by měli aktualizovat sadu Adobe AIR na verzi 14.0.0.178.
  • Uživatelé sady SDK Adobe AIR 14.0.0.137 a starších verzí by měli sadu aktualizovat na verzi SDK Adobe AIR 14.0.0.178.
  • Uživatelé sady SDK a kompilátoru prostředí Adobe AIR 14.0.0.137 a starších verzí by měli přejít na verzi SDK a kompilátor prostředí Adobe AIR 14.0.0.178.
  • Uživatelé prostředí Adobe AIR 14.0.0.137 a starších verzí pro systém Android by měli přejít na verzi Adobe AIR 14.0.0.179.

Dotčené verze softwaru

  • Adobe Flash Player 14.0.0.145 a starší verze pro systémy Windows a Macintosh
  • Adobe Flash Player 11.2.202.394 a starší verze pro systémy Linux
  • Adobe AIR 14.0.0.110 a starší verze pro systémy Windows a Macintosh
  • Sada SDK Adobe AIR 14.0.0.137 a starší verze
  • Sada SDK a kompilátor prostředí Adobe AIR 14.0.0.137 a starší verze
  • Adobe AIR 14.0.0.137 a starší verze pro systémy Android

Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.

Chcete-li ověřit verzi prostředí Adobe AIR nainstalovanou v systému, postupujte dle návodu v Technické poznámce pro prostředí Adobe AIR.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

  • Společnost Adobe doporučuje uživatelům doplňku Active X přehrávače Adobe Flash Player pro aplikaci Internet Explorer verze 14.0.0.145 a starší přejít na verzi Adobe Flash Player 14.0.0.176, kterou si mohou stáhnout z centra stahování přehrávače Adobe Flash Player nebo pomocí funkce stahování v produktu, když k tomu budou vyzváni.
  • Společnost Adobe doporučuje uživatelům doplňku NPAPI přehrávače Adobe Flash Player pro aplikaci Firefox verze 14.0.0.145 a starší v systému Windows přejít na verzi Adobe Flash Player 14.0.0.179, kterou si mohou stáhnout z centra stahování přehrávače Adobe Flash Player nebo pomocí funkce stahování v produktu, když k tomu budou vyzváni.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player verze 14.0.0.145 a starší pro systém Macintosh přejít na verzi Adobe Flash Player 14.0.0.176, kterou si mohou stáhnout z centra stahování přehrávače Adobe Flash Player nebo pomocí funkce stahování v produktu, když k tomu budou vyzváni.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player 11.2.202.394 a starších verzí pro systémy Linux přejít na verzi Adobe Flash Player 11.2.202.400, kterou si mohou stáhnout z Centra stahování aplikace Adobe Flash Player.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.177 pro systémy Windows, Macintosh a Linux.
  • Společnost Adobe zveřejnila pro uživatele aplikace Flash Player 14.0.0.145 a starších verzí pro systémy Windows a Macintosh, kteří nemohou aktualizovat aplikaci Flash Player na verzi 14.0.0.176, verzi aplikace Flash Player 13.0.0.241, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 10 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 10, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.0.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 11 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 11, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.1.
  • Uživatelé sady Adobe AIR 14.0.0.110 a starších verzí pro systémy Windows a Macintosh by měli aktualizovat sadu Adobe AIR na verzi 14.0.0.178.
  • Uživatelé sady SDK Adobe AIR 14.0.0.137 a starších verzí by měli sadu aktualizovat na verzi SDK Adobe AIR 14.0.0.178.
  • Uživatelé sady SDK a kompilátoru prostředí Adobe AIR 14.0.0.137 a starších verzí by měli přejít na verzi SDK a kompilátor prostředí Adobe AIR 14.0.0.178.
  • Uživatelé prostředí Adobe AIR 14.0.0.137 a starších verzí pro systém Android by měli přejít na verzi Adobe AIR 14.0.0.179.

Priorita a závažnost

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizovaná verze Platforma Hodnocení priority
Adobe Flash Player 14.0.0.176
Doplněk Active X pro aplikaci Internet Explorer v systému Windows
1
  14.0.0.179
Doplněk NPAPI pro aplikaci Firefox v systému Windows
1
  14.0.0.176 Macintosh 1
  14.0.0.176 Internet Explorer 10 pro Windows 8.0 1
  14.0.0.176
Internet Explorer 11 pro Windows 8.1 1
  14.0.0.177
Chrome pro Windows, Macintosh a Linux 1
  11.2.202.400 Linux 3
Adobe AIR 14.0.0.178 Windows a Macintosh 3
Adobe AIR 14.0.0.179 Android 3
Adobe AIR SDK a Compiler 14.0.0.178
Windows, Macintosh, Android a iOS 3
Adobe AIR SDK 14.0.0.178
Windows, Macintosh, Android a iOS
3

Tyto aktualizace řeší kritické chyby zabezpečení softwaru.

Podrobnosti

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Flash Player 14.0.0.145 a starší verze pro systémy Windows a Macintosh a pro aplikaci Adobe Flash Player 11.2.202.394 a starší verze pro systémy Linux. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé doplňku Active X přehrávače Adobe Flash Player pro aplikaci Internet Explorer verze 14.0.0.145 a starší by měli aktualizovat aplikaci Adobe Flash Player na verzi 14.0.0.176.
  • Uživatelé doplňku NPAPI přehrávače Adobe Flash Player pro aplikaci Firefox verze 14.0.0.145 a starší by měli aktualizovat aplikaci Adobe Flash Player na verzi 14.0.0.179.
  • Uživatelé přehrávače Adobe Flash Player verze 14.0.0.145 a starší pro systémy Macintosh by měli aktualizovat přehrávač Adobe Flash Player na verzi 14.0.0.176.
  • Uživatelé přehrávače Adobe Flash Player 11.2.202.394 a starších verzí pro systémy Linux by měli přejít na verzi Adobe Flash Player 11.2.202.400.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.177 pro systémy Windows, Macintosh a Linux.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 10 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 10, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.0.
  • Přehrávač Adobe Flash Player 14.0.0.145 nainstalovaný s aplikací Internet Explorer 11 se automaticky aktualizuje na nejnovější verzi prohlížeče Internet Explorer 11, která bude obsahovat přehrávač Adobe Flash Player 14.0.0.176 pro Windows 8.1.
  • Uživatelé sady Adobe AIR verze 14.0.0.110 a starší pro systémy Windows a Macintosh by měli aktualizovat sadu Adobe AIR na verzi 14.0.0.178.
  • Uživatelé sady SDK Adobe AIR 14.0.0.137 a starších verzí by měli sadu aktualizovat na verzi SDK Adobe AIR 14.0.0.178.
  • Uživatelé sady SDK a kompilátoru prostředí Adobe AIR 14.0.0.137 a starších verzí by měli přejít na verzi SDK a kompilátor prostředí Adobe AIR 14.0.0.178.
  • Uživatelé prostředí Adobe AIR 14.0.0.137 a starších verzí pro systém Android by měli přejít na verzi Adobe AIR 14.0.0.179.
Tyto aktualizace odstraňují chyby zabezpečení způsobující únik paměti, jenž lze použít k překonání randomizace adresy paměti (CVE-2014-0540, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545).
 
Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení (CVE-2014-0541).
 
Tyto aktualizace řeší chybu zabezpečení spočívající možnosti v použití uvolněné paměti, která může vést ke spuštění kódu (CVE-2014-0538).
 
Tyto aktualizace obsahují nový ověřovací prvek, pomocí něhož lze zjistit speciálně upravené soubory SWF, které dokážou obejít omezení zavedená ve verzi 14.0.0.145. Nová omezení ve verzi 14.0.0.176 brání ve využití přehrávače Flash Player k útokům XSS vůči koncovým bodům (CVE-2014-5333).
 
Dotčený software   Doporučená aktualizace přehrávače Dostupnost
Doplněk Active X přehrávače Flash Player pro aplikaci Internet Explorer, 14.0.0.145 a starší verze
  14.0.0.176 Centrum stahování přehrávače Flash Player
Doplněk NPAPI přehrávače Flash Player pro aplikaci Firefox v systému Windows, 14.0.0.145 a starší verze   14.0.0.179 Centrum stahování přehrávače Flash Player
Flash Player 14.0.0.145 a starší verze (síťová distribuce)   14.0.0.176
Licencování aplikace Flash Player
Flash Player 11.2.202.394 a starší verze pro systémy Linux   11.2.202.400 Centrum stahování přehrávače Flash Player
Flash Player 14.0.0.145 a starší verze pro aplikaci Chrome (Windows, Macintosh a Linux)   14.0.0.177
Verze Google Chrome
Flash Player 14.0.0.145 a starší verze v aplikaci Internet Explorer 10 pro systémy Windows 8.0   14.0.0.176
Informační zpravodaje zabezpečení společnosti Microsoft
Flash Player 14.0.0.145 a starší verze v aplikaci Internet Explorer 11 pro systémy Windows 8.1   14.0.0.176
Informační zpravodaje zabezpečení společnosti Microsoft
Sada AIR 14.0.0.110 a starší verze   14.0.0.178 Centrum stahování prostředí AIR
Sada SDK a kompilátor AIR 14.0.0.137 a starší verze   14.0.0.178 Stažení sady AIR SDK
Sada SDK AIR 14.0.0.137 a starší verze   14.0.0.178
Stažení sady AIR SDK
AIR 14.0.0.137 a starší verze pro systémy Android   14.0.0.179 Google Play

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Wen Guanxing ze společnosti Venustech Adlab (CVE-2014-0538)
  • lokihardt@asrt spolupracující v rámci programu Zero Day Initiative společnosti HP (CVE-2014-0540)
  • Soroush Dalili ze společnosti NCC Group (CVE-2014-0541)
  • Chris Evans z programu Google Project Zero (CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545)
  • Michele Spagnuolo (CVE-2014-5333)

Verze

20. srpna 2014: Byla přidána reference k novým ověřovacím prvkům zavedeným v přehrávači Flash Player, které brání v útocích XSS vůči zranitelným koncovým bodům JSONP (CVE-2014-5333).