Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 11. srpna 2015

Poslední aktualizace: 2. září 2015

Identifikátor chyby zabezpečení: APSB15-19

Priorita: Viz tabulka níže

Číslo CVE: CVE-2015-5125, CVE-2015-5127, CVE-2015-5129, CVE-2015-5130, CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5541, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5550, CVE-2015-5551, CVE-2015-5552, CVE-2015-5553, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5557, CVE-2015-5558, CVE-2015-5559, CVE-2015-5560, CVE-2015-5561, CVE-2015-5562, CVE-2015-5563, CVE-2015-5564, CVE-2015-5565, CVE-2015-5566, CVE-2015-6682

Platforma: všechny platformy

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro přehrávač Adobe Flash Player.  Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 18.0.0.209 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 13.0.0.309 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome  18.0.0.209 a starší verze Windows, Macintosh a Linux
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 18.0.0.209 a starší verze Windows 10
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 18.0.0.209 a starší verze Systém Windows 8.0 a 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.491 a starší verze Linux
Běhové prostředí AIR pro stolní počítače 18.0.0.180 a starší verze Windows a Macintosh
Sada AIR SDK 18.0.0.180 a starší verze Windows, Macintosh, Android a iOS
Sada SDK a kompilátor prostředí AIR 18.0.0.180 a starší verze Windows, Macintosh, Android a iOS
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače
18.0.0.232 Windows a Macintosh
1 Centrum stahování přehrávače Flash Player  Distribuce přehrávače Flash Player
Adobe Flash Player Extended Support Release [2] 18.0.0.232 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 18.0.0.232 Windows a Macintosh   1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 18.0.0.233 Systém Linux a Chrome 3 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 18.0.0.232 Windows 10 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 18.0.0.232 Systém Windows 8.0 a 8.1
1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.508 Linux 3 Centrum stahování přehrávače Flash Player
Běhové prostředí AIR pro stolní počítače 18.0.0.199 Windows a Macintosh 3 Centrum stahování prostředí AIR
Sada AIR SDK 18.0.0.199 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Sada SDK a kompilátor prostředí AIR 18.0.0.199 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
  • Společnost Adobe doporučuje uživatelům běhového prostředí Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh přejít na verzi Adobe Flash Player 18.0.0.232, kterou si mohou stáhnout z Centra stahování přehrávače Adobe Flash Player nebo pomocí funkce aktualizace v produktu, když k tomu budou vyzváni [1].
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release [2] přejít na verzi 18.0.0.232, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům aplikace Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.508, kterou si mohou stáhnout z Centra stahování přehrávače Adobe Flash Player
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat přehrávač Adobe Flash Player 18.0.0.232 pro systémy Windows a Macintosh a verzi 18.0.0.233 pro systémy Linux a Chrome.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Microsoft Edge pro systém Windows 10 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 18.0.0.232.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Internet Explorer 10 a 11 pro systém Windows 8.0 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 18.0.0.232.
  • Společnost Adobe doporučuje uživatelům běhového prostředí AIR pro stolní počítače, sady AIR SDK a sady SDK a kompilátoru prostředí AIR, aby provedli aktualizaci na verzi 18.0.0.199 prostřednictvím Centra stahování prostředí AIR nebo Centra pro vývojáře prostředí AIR
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.
 
[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.
 
[2] Poznámka: Počínaje 11. srpnem 2015 začne společnost Adobe aktualizovat verzi „Extended Support Release“ přehrávače Flash Player 13 na přehrávač Flash Player 18 pro systémy Macintosh a Windows. Pokud chtějí uživatelé získat všechny dostupné aktualizace zabezpečení, je třeba, aby si nainstalovali verzi 18 přehrávače Flash Player Extended Support Release nebo aby přehrávač aktualizovali na poslední dostupnou verzi. Kompletní informace najdete v tomto příspěvku na blogu: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chyby zabezpečení při záměně typů, která může vést ke spuštění kódu (CVE-2015-5554, CVE-2015-5555, CVE-2015-5558, CVE-2015-5562).
  • Tyto aktualizace zahrnují další ochranu v reakci na pokles zabezpečení ve verzi 18.0.0.209, která chrání před poškozením délky vektorů (CVE-2015-5125).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v možnosti použití paměti po uvolnění, která může vést ke spuštění kódu (CVE-2015-5550, CVE-2015-5551, CVE-2015-5556, CVE-2015-5130, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5557, CVE-2015-5559, CVE-2015-5127, CVE-2015-5563, CVE-2015-5561, CVE-2015-5564, CVE-2015-5565, CVE-2015-5566, CVE-2015-6682).
  • Tyto aktualizace řeší chyby zabezpečení spojené s přetečením vyrovnávací paměti na haldě, které mohou vést ke spuštění kódu (-5129, CVE-2015-, CVE-2015-5541).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti, které mohou vést ke spuštění kódu (CVE-2015-5131, CVE-2015-5132, CVE-2015-5133).
  • Tyto aktualizace opravují chyby zabezpečení spočívající v poškození paměti, což může vést ke spuštění kódu (CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5552, CVE-2015-5553).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2015-5560).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím: 

  • Kai Lu z laboratoří FortiGuard Labs společnosti Fortinet (CVE-2015-5129)
  • Chris Evans, Ben Hawkes a Mateusz Jurczyk ze společnosti Google Project Zero (CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548)
  • Wang Wei z týmu Alibaba Security Research Team (CVE-2015-5566)
  • Natalie Silvanovich, Google Project Zero (CVE-2015-5550, CVE-2015-5551, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5557, CVE-2015-5558, CVE-2015-5562, CVE-2015-5560, CVE-2015-5564, CVE-2015-5565)
  • Chris Evans z programu Google Project Zero (CVE-2015-5549, CVE-2015-5125)
  • bilou, pracující na programu Chromium Vulnerability Rewards Program (, CVE-2015-5563, CVE-2015-5561, CVE-2015-5130, CVE-2015-5127)
  • Yuki Chen z týmu Qihoo 360 Vulcan Team (CVE-2015-5552, CVE-2015-5553, CVE-2015-5559)
  • instruder z týmu Alibaba Security Research Team (CVE-2015-5541)
  • Peter Pi ze společnosti TrendMicro (CVE-2015-6682)

 

Verze

11. srpna 2015: Byla aktualizována tabulka postižených verzí, takže nyní obsahuje aplikaci Adobe Flash Player pro aplikace Microsoft Edge a Internet Explorer 11 v systému Windows 10.  Také byl přidán odkaz na chybu CVE-2015-5564, který byl v bulletinu omylem vynechán.     

12. srpna 2015: Byl přidán odkaz na chybu CVE-2015-5565, problém s využitím paměti po uvolnění, který je podobný chybě CVE-2015-3107.  Byla zveřejněna oprava chyby CVE-2015-3107 v APSB15-11 a byla posílena ochrana v APSB15-19.  Také byla odebrána chyba CVE-2015-5128, která byla dříve vyhodnocena jako problém se záměnou typů. Chyba byla překlasifikována jako nezneužitelné zhroucení kvůli výjimce týkající se ukazatele null.

20. srpna 2015: Problém CVE-2015-5124 byl nahrazen problémem CVE-2015-5566.  Problém CVE-2015-5124 byl řešen v opravě APSB15-16 a omylem byl znovu použit v opravě APSB15-19. 

2. září 2015: Byl přidán odkaz na problém CVE-2015-6682, chyba zabezpečení umožňující využití uvolněné paměti byla v tomto vydání vyřešena, avšak nedopatřením nebyla v tomto bulletinu uvedena.