Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 8. července 2015

Poslední aktualizace: 17. července 2015

Identifikátor chyby zabezpečení: APSB15-16

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Platforma: všechny platformy

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro systémy Windows, Macintosh a Linux. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad ovlivněným systémem. Společnost Adobe je obeznámena se zprávou, podle které byl zveřejněn kód umožňující zneužití chyby zabezpečení CVE-2015-5119. 

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 18.0.0.194 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 13.0.0.296 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 18.0.0.194 a starší verze Windows, Macintosh a Linux
Přehrávač Adobe Flash Player pro prohlížeče Internet Explorer 10 a Internet Explorer 11 18.0.0.194 a starší verze Systém Windows 8.0 a 8.1
Adobe Flash Player 11.2.202.468 a starší verze Linux
Běhové prostředí AIR pro stolní počítače 18.0.0.144 a starší verze Windows a Macintosh
Sada AIR SDK 18.0.0.144 a starší verze Windows, Macintosh, Android a iOS
Sada SDK a kompilátor prostředí AIR 18.0.0.144 a starší verze Windows, Macintosh, Android a iOS
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  
  • Chcete-li ověřit verzi prostředí Adobe AIR nainstalovanou v systému, postupujte dle návodu v Technické poznámce pro prostředí Adobe AIR

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Priorita
Dostupnost
Běhové prostředí Flash Player pro stolní počítače
18.0.0.203 Windows a Macintosh
1 Centrum stahování přehrávače Flash Player  Distribuce přehrávače Flash Player
Flash Player Extended Support Release 13.0.0.302 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Flash Player pro systém Linux 11.2.202.481 Linux 3 Centrum stahování přehrávače Flash Player
Aplikace Flash Player pro prohlížeč Google Chrome 18.0.0.203  Windows a Macintosh    1 Verze Google Chrome
Aplikace Flash Player pro prohlížeč Google Chrome 18.0.0.204 Linux 3 Verze Google Chrome
Přehrávač Flash Player pro prohlížeče Internet Explorer 10 a Internet Explorer 11 18.0.0.203 Systém Windows 8.0 a 8.1
1 Informační zpravodaje zabezpečení společnosti Microsoft
Běhové prostředí AIR pro stolní počítače 18.0.0.180 Windows a Macintosh 3 Centrum stahování prostředí AIR
Sada AIR SDK 18.0.0.180 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Sada SDK a kompilátor prostředí AIR 18.0.0.180 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
  • Společnost Adobe doporučuje uživatelům běhového prostředí Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh přejít na verzi Adobe Flash Player 18.0.0.203, kterou si mohou stáhnout z Centra stahování přehrávače Adobe Flash Player nebo pomocí funkce aktualizace v produktu, když k tomu budou vyzváni [1].
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release [2] přejít na verzi 13.0.0.302, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.481, kterou si mohou stáhnout z centra stahování aplikace Adobe Flash Player.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 18.0.0.203 pro systémy Windows a Macintosh a aplikaci Flash Player 18.0.0.204 pro systémy Linux.
  • Přehrávač Adobe Flash Player nainstalovaný s aplikací Internet Explorer pro systém Windows 8.x se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 18.0.0.203.
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.
 
[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.
 
[2] Poznámka: Počínaje 11. srpnem 2015 začne společnost Adobe aktualizovat verzi „Extended Support Release“ přehrávače Flash Player 13 na přehrávač Flash Player 18 pro systémy Macintosh a Windows. Pokud chtějí uživatelé získat všechny dostupné aktualizace zabezpečení, je třeba, aby si nainstalovali verzi 18 přehrávače Flash Player Extended Support Release nebo aby přehrávač aktualizovali na poslední dostupnou verzi. Kompletní informace najdete v tomto příspěvku na blogu: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace vylepšují randomizaci adresy paměti haldy přehrávače Flash pro 64bitovou platformu Windows 7 (CVE-2015-3097).
  • Tyto aktualizace řeší chyby zabezpečení týkající se přetečení vyrovnávací paměti haldy, které mohou vést ke spuštění kódu (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
  • Tyto aktualizace řeší problémy spojené s dereferencí ukazatele NULL (CVE-2015-3126, CVE-2015-4429).
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení, která může vést k odhalení informací (CVE-2015-3114).
  • Tyto aktualizace řeší chyby zabezpečení typu „type confusion“, které mohou vést ke spuštění kódu (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
  • Tyto aktualizace řeší chyby zabezpečení, které lze využít k obejití zásad „same-origin-policy“ a které mohou vést k poskytnutí chráněných informací (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Ben Hawkes, Google Project Zero (CVE-2015-4430)
  • bilou spolupracující s programem Chromium Vulnerability Rewards Program (CVE-2015-3118, CVE-2015-3128)
  • Chris Evans z programu Google Project Zero (CVE-2015-3097, CVE-2015-5118)
  • Chris Evans, Ben Hawkes, Mateusz Jurczyk, Google Project Zero (CVE-2015-4432)
  • David Kraftsow (dontsave) pracující v rámci Zero Day Initiative společnosti HP (CVE-2015-3125)
  • instruder ze střediska Alibaba Security Threat Information (CVE-2015-3133)
  • Kai Kang z organizace Tencent's Xuanwu Lab (CVE-2015-4429, CVE-2015-5124)
  • Kai Lu z laboratoří FortiGuard Labs společnosti Fortinet (CVE-2015-3117)
  • Jihui Lu, tým KEEN (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115, CVE-2015-3116)
  • Mateusz Jurczyk, Google Project Zero (CVE-2015-3123)
  • Natalie Silvanovich, Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
  • Soroush Dalili, NCC Group (CVE-2015-3114, CVE-2014-0578)
  • willJ, manažer společnosti Tencent PC (CVE-2015-3126)
  • Yuki Chen, tým Qihoo 360 Vulcan (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero a Morgan Marquis-Boire (CVE-2015-5119)

Verze

17. července 2015: Byla provedena aktualizace, která zahrnuje další problém CVE (CVE-2015-5124) vyřešený v těchto aktualizacích, který byl ale v bulletinu omylem opomenut.