Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 21. září 2015

Poslední aktualizace: 23. září 2015

Identifikátor chyby zabezpečení: APSB15-23

Priorita: Viz tabulka níže

Číslo CVE: CVE-2015-5567, CVE-2015-5568, CVE-2015-5570, CVE-2015-5571, CVE-2015-5572, CVE-2015-5573, CVE-2015-5574, CVE-2015-5575, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578, CVE-2015-5579, CVE-2015-5580, CVE-2015-5581, CVE-2015-5582, CVE-2015-5584, CVE-2015-5587, CVE-2015-5588, CVE-2015-6676, CVE-2015-6677, CVE-2015-6678, CVE-2015-6679, CVE-2015-6682

Platforma: všechny platformy

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro přehrávač Adobe Flash Player. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 18.0.0.232 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 18.0.0.232 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 18.0.0.233 a starší verze Windows, Macintosh, Linux a ChromeOS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 18.0.0.232 a starší verze Windows 10
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 18.0.0.232 a starší verze Systém Windows 8.0 a 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.508 a starší verze Linux
Běhové prostředí AIR pro stolní počítače 18.0.0.199 a starší verze Windows a Macintosh
Sada AIR SDK 18.0.0.199 a starší verze Windows, Macintosh, Android a iOS
Sada SDK a kompilátor prostředí AIR 18.0.0.180 a starší verze Windows, Macintosh, Android a iOS
Prostředí AIR pro systém Android 18.0.0.143 a starší verze Android
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače
19.0.0.185 Windows a Macintosh
1 Centrum stahování přehrávače Flash Player  Distribuce přehrávače Flash Player
Adobe Flash Player Extended Support Release 18.0.0.241 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 19.0.0.185 Windows, Macintosh, Linux a ChromeOS    1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 19.0.0.185 Windows 10 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 19.0.0.185 Systém Windows 8.0 a 8.1
1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.521 Linux 3 Centrum stahování přehrávače Flash Player
Běhové prostředí AIR pro stolní počítače 19.0.0.190 Windows a Macintosh 3 Centrum stahování prostředí AIR
Sada AIR SDK 19.0.0.190 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Sada SDK a kompilátor prostředí AIR 19.0.0.190 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Prostředí AIR pro systém Android 19.0.0.190 Android 3 Google Play
  • Společnost Adobe doporučuje uživatelům běhového prostředí Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh přejít na verzi Adobe Flash Player 19.0.0.185, kterou si mohou stáhnout z Centra stahování přehrávače Adobe Flash Player nebo pomocí funkce aktualizace v produktu, když k tomu budou vyzváni [1].
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release přejít na verzi 18.0.0.241, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům aplikace Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.521, kterou si mohou stáhnout z Centra stahování přehrávače Adobe Flash Player
  • Aplikace Adobe nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 19.0.0.185 pro systémy Windows, Macintosh, Linux a Chrome.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Microsoft Edge pro systém Windows 10 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 19.0.0.185.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Internet Explorer 10 a 11 pro systém Windows 8.0 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 19.0.0.185.
  • Společnost Adobe doporučuje uživatelům běhového prostředí AIR pro stolní počítače, sady AIR SDK a sady SDK a kompilátoru prostředí AIR, aby provedli aktualizaci na verzi 19.0.0.190 prostřednictvím Centra stahování prostředí AIR nebo Centra pro vývojáře prostředí AIR
  • Společnost Adobe doporučuje uživatelům běhového prostředí AIR pro systém Android, aby provedli aktualizaci na verzi 19.0.0.190 prostřednictvím obchodu Google Play.
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.
 
[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení spočívající v záměně typu, která může vést ke spuštění kódu (CVE-2015-5573). 
  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (-5570, -5574, -5581, -5584, -6682, CVE-2015-, CVE-2015-, CVE-2015-, CVE-2015-, CVE-2015). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti, které mohou vést ke spuštění kódu (CVE-2015-6676, CVE-2015-6678). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2015-5575, CVE-2015-5577, CVE-2015-5578, CVE-2015-5580, CVE-2015-5582, CVE-2015-5588, CVE-2015-6677). 
  • Tyto aktualizace zahrnují další ověřovací kontroly, které zajišťují, že přehrávač Flash Player odmítá nebezpečný obsah ze zranitelných rozhraní API pro zpětné volání JSONP (CVE-2015-5571). 
  • Tyto aktualizace řeší chybu zabezpečení týkající se úniku paměti (CVE-2015-5576). 
  • Tyto aktualizace zahrnují další ochranu v reakci na pokles zabezpečení, která chrání před poškozením délky vektorů (CVE-2015-5568). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v úniku paměti, které mohou vést ke spuštění kódu (CVE-2015-5567, CVE-2015-5579). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení zásobníku, která může vést ke spuštění kódu (CVE-2015-5587). 
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení, která může vést k odhalení informací (CVE-2015-5572). 
  • Tyto aktualizace řeší chybu zabezpečení, které lze využít k obejití zásad „same-origin-policy“ a které mohou vést k poskytnutí informací (-6679, CVE-2015).

Poděkování

Společnost Adobe by tímto ráda poděkovala Wenovi Guanxingovi ze společnosti Venustech ADLAB, který spolupracoval v rámci programu Chromium Vulnerability Rewards Program a nahlásil několik chyb zabezpečení v aplikaci Flash Player 19 beta.  Společnost Adobe děkuje za nahlášení relevantních problémů a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím: 

  • Ben Hayak (CVE-2015-5571) 
  • Jing Chen Liu z výzkumného týmu Alibaba Security Research (CVE-2015-5587) 
  • Malte Batram (CVE-2015-6679) 
  • Natalie Silvanovichová z programu Google Project Zero (CVE-2015-5574) 
  • Chris Evans, Ben Hawkes a Mateusz Jurczyk z programu Google Project Zero (-5575, CVE-2015-, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578, CVE-2015-5579, CVE-2015-5580, CVE-2015-5584) 
  • instruder z informačních středisek Alibaba pro výzkum bezpečnostních hrozeb (CVE-2015-5573, CVE-2015-6677) 
  • Keen Team spolupracující v rámci programu Zero Day Initiative společnosti HP (CVE-2015-6678) 
  • bilou spolupracující v rámci programu Zero Day Initiative společnosti HP (CVE-2015-5570) 
  • bilou (CVE-2015-5567) 
  • James Forshaw z projektu Google Project Zero (CVE-2015-5568) 
  • Kai Kang ze společnosti  Tencent  Xuanwu Lab (CVE-2015-5581) 
  • Alexey Rekish ze společnosti AddReality (CVE-2015-5572) 
  • LMX ze společnosti Qihoo 360 (CVE-2015-5582, CVE-2015-5588, CVE-2015-6676) 
  • Yuki Chen z týmu Qihoo 360 Vulcan Team spolupracující v rámci programu Chrome Rewards Program společnosti Google (CVE-2015-6682) 

Verze

21. září 2015: Bylo aktualizováno poděkování v souvislosti s problémem CVE-2015-6682, místo Chrise Evanse je nyní uveden Yuki Chen z týmu Qihoo 360 Vulcan Team. 

23. září 2015: Bylo přidáno poděkování Wenovu Guanxingovi za upozornění na chybu zabezpečení v aplikaci Flash Player 19 beta v rámci programu Chromium Vulnerability Rewards Program.